Slordige codering in sommige populaire iOS-games stelt hackers in staat zichzelf en anderen gratis duizenden dollars aan in-app-aankopen te geven.
Het gat werd ontdekt door ontwikkelaars bij DigiDNA, maker van een back-uptool genaamd iMazing waarmee iPhone- en iPad-gebruikers toegang hebben tot de verborgen bestandssystemen van hun apparaten. De ontwikkelaars ontdekten dat de functie voor back-up/herstel van apps in iMazing 1.3 zwakke punten blootlegt in de manier waarop games zoals Angry Birds 2 en Tetris Gratis in-app aankopen afhandelen.
Om te demonstreren hoe gemakkelijk het is om in-app-aankopen met deze methode te hacken, heeft het DigiDNA-team getweaked Angry Birds 2 om het spel te starten met 999.999.999 edelstenen - het equivalent van $ 10.000 aan in-game credits.
Rovio's Angry Birds 2 is gratis te downloaden, maar om verder te komen, moeten gamers betalen om te spelen met behulp van zogenaamde 'in-app-aankopen'. De game werd in de eerste week meer dan 20 miljoen keer gedownload.
Deze fout kan ontwikkelaars de in-game upgrades beroven die inkomsten genereren na de eerste downloads. Apple betaalde ontwikkelaars meer dan $ 10 miljard in 2014, waardoor de zogenaamde app-economie ontstond
groter dan Hollywood.In-app-aankopen zijn een geliefd bedrijfsmodel van app-makers. Veel apps zijn gratis te downloaden, maar vereisen in-app-aankopen om functies te ontgrendelen, naar het volgende niveau te gaan of advertenties te verwijderen. Het is vooral populair bij gaming. Het verlies van in-app-aankopen zou ontwikkelaars in theorie tonnen geld kunnen kosten als ze hun code niet beveiligen.
"Veel andere apps zijn kwetsbaar", zegt Jérôme Bédat, mede-eigenaar van DigiDNA, die de zwakte ontdekte.
Foto: iMazing
De hack komt op de achterkant van de XcodeGhost-onthullingen, waaruit bleek dat tientallen apps besmet zijn met malware, waaronder - helaas voor Rovio - de Chinese versie van Angry Birds 2.
De fout werd ontdekt door Gregorio Zanon, mede-eigenaar van DigiDNA, terwijl hij een nieuwe versie van de software aan het testen was iMazing back-uptool. Hij ontdekte dat back-ups van populaire games zoals Angry Birds 2 en Tetris Gratis kunnen worden overgedragen van de ene Apple ID naar de andere, inclusief eventuele in-app-aankopen.
Zanon heeft vijf apps getest die afhankelijk zijn van IAP's (Angry Birds 2, Temple Run 2, Tetris Gratis, Candy Crush en Clash of Clans) en de resultaten op de blog van DigiDNA geplaatst.
Geef Apple niet de schuld van deze kwetsbaarheid
DigiDNA zei dat de kwetsbaarheid niet de schuld van Apple is. Het probleem is wat Zanon door app-ontwikkelaars "luie codering" noemde. Makers van de gecompromitteerde apps hebben die van Apple gewoon niet gevolgd aanbeveling om gekochte items uit te sluiten van back-ups. In plaats daarvan slaan de getroffen apps gekochte items op in de sandbox van de app, die toegankelijk is in een back-up.
De zwakte van de in-app-aankoop kon voorheen worden misbruikt door een iOS-back-up met de gehackte gegevens te bewerken en te herstellen. Dergelijke volledige herstelbewerkingen zijn echter tijdrovend, wat waarschijnlijk de reden is waarom veel mensen nooit van de gebreken hebben geprofiteerd. Met nieuwe back-uptools zoals iMazing, die de wrijving van een volledige back-up wegnemen, kunnen gebruikers hun gehackte in-app-aankopen eenvoudig exporteren en delen.
Het enige dat een gebruiker hoeft te doen om de "gratis" in-app-aankoop op zijn of haar apparaat te krijgen, is iMazing openen en het app-bestand op zijn apparaat herstellen, wat amper een minuut duurt. Door het beveiligingslek kunnen hackers de code van de app zelf niet manipuleren, maar het maakt het wel heel gemakkelijk om de aankopen op uw apparaat van iemand anders te krijgen.
Apps kunnen op twee manieren kwetsbaar zijn: overdraagbare aankopen en aanpasbare in-game valuta. Dit laatste is het worstcasescenario, waardoor in-game valuta tot ongelooflijk hoge niveaus kan worden gemanipuleerd door niet-versleutelde bestanden in een back-up te bewerken. Gebruikers kunnen vervolgens een back-up van de app maken en de patches online delen (in de vorm van .imazingapp-bestanden).
"Eén gebruiker kan IAP's kopen en de app-status verspreiden naar een oneindig aantal andere gebruikers", zei Zanon. "Men koopt, velen genieten."
Een Apple-vertegenwoordiger waarmee Cult of Mac contact had opgenomen over de kwetsbaarheid weigerde commentaar te geven. Rovio en Electronic Arts hebben nog niet gereageerd op verzoeken om commentaar.
Zanon en zijn collega's testten slechts een handvol apps, maar ontdekten dat ongeveer de helft kwetsbaar was. Ze denken dat het probleem wijdverbreid is en dat duizenden apps mogelijk kwetsbaar zijn voor de fout.
"Ons standpunt is volkomen duidelijk", zei Zanon. “We willen niet dat onze gebruikers IAP’s hacken. We stuitten gewoon op luiheid van ontwikkelaars en gingen naar de beurs, vooral omdat we niet willen dat iMazing wordt geassocieerd met hacks. Als we ons niet uitspreken, kan het nieuws uiteindelijk naar buiten komen en onze reputatie schaden. Kortom, we zijn verheugd om de eerste software te zijn die back-up/herstel van apps op iOS 9 mogelijk maakt, maar we zouden het vreselijk vinden om deze coole functie geassocieerd te zien met piraten.”
Zanon en Bédat drongen er bij ontwikkelaars op aan om hun code voor het afhandelen van in-app-aankopen te herzien.
"Het patchen van zwakke code zou ontwikkelaars maar een paar uur moeten kosten", zei Bédat.
