Gratis in-app aankopen in ruil voor je AppleID, wachtwoord en ziel

Door: Koen van Tongeren - 24 reacties

Het is de Russische hacker Alexey Borodin gelukt om gratis in-app aankopen te doen binnen iOS-apps. De methode die hij hiervoor verzon vereist geen jailbreak en is door iedereen met een iOS-apparaat uit te voeren. Er is zelfs een online uitleg beschikbaar.

De rechtschapen  Alexey heeft er wel bij gemeld dat stelen van content stout is. Wij voegen er graag aan toe dat het ook heel dom is, want je geeft hem er onder andere je Apple ID en wachtwoord mee.

De hack wordt uitvoerig uiteengezet in een interview dat The Next Web met Alexey had. Kortweg komt het er op neer dat hij een manier heeft gevonden om de authenticatie die Apple gebruikt bij in-app aankopen na te bootsen via een eigen server. Gebruikers moeten hiervoor een speciaal certificaat downloaden en hun DNS-instellingen aanpassen.

Alexey’s methode werkt niet bij alle in-app aankopen. De aankoop moet al een keer gedaan zijn om de authenticatie na te kunnen maken. Daarbij werkt de methode niet bij apps die een eigen methode hebben ingebouwd voor authenticatie van in-app aankopen.

De hack werd op vrijdag opgepikt door een Russisch blog en heeft inmiddels ook de aandacht van Apple getrokken. Via The Loop verklaarde woordvoerder Natalie Harrison dat het probleem serieus genomen wordt en dat inmiddels een onderzoek gestart is.

The security of the App Store is incredibly important to us and the developer community. […] We take reports of fraudulent activity very seriously and we are investigating.

We waarschuwen nog maar een keer: het stelen van content is niet cool en in dit geval ook heel gevaarlijk, want ondanks Alexey’s uitspraak dat hij geen persoonlijke informatie van gebruikers opslaat… vertrouw jij je Apple ID toe aan een Russische hacker?

Reacties

24 reacties
  • Profielfoto
    jobz

    Niet dat ik die Rus wat gun, maar dit soort gedrag heeft Apple wel mooi groot gemaakt. De bevlekte zielen van Woz en Jobs waren superieur in het stelen van content/bandwith. Dat vind ik eigenlijk wel cool.

  • Profielfoto
    I Xyzyx I

    Wachtwoord wordt niet mee gestuurd, alleen Apple id, apparaat id, de naam van de app, de in app aankoop en het aantal worden mee gestuurd.

  • Profielfoto
    reporterdavid

    Ik verkoop m’n ziel liever niet aan de duivel. I choose Jesus instead

  • Profielfoto
    MacAanZee

    Nooit van m’n leven!

  • Profielfoto
    Mark18

    Neverrr!

  • Profielfoto
    WiBo1953

    goed dat jullie ook nog extra vermelden dat het ID in zijn bezit komt…
    Ik vrees dat hebzucht toch een aantal zal verleiden…

  • Profielfoto
    imalijkh

    Vertrouw je je Apple ID toe aan een Nederlandse hacker dan wel?

  • Profielfoto
    iNicky

    Wat maakt het uit dat zo’n rus mijn id kent. Het is niet mijn pin……

  • Profielfoto
    Dave123

    Ik denk wel dat het uitmaakt als je kredietkaart er aan gekoppeld is;-)

  • Profielfoto
    Thomas18NL

    “Dave123 op 14 juli 2012
    Ik denk wel dat het uitmaakt als je kredietkaart er aan gekoppeld is”

    Dat denk ik ook haha. Gelukkig is dat bij mij niet, ik koop altijd losse codes via internet =)

  • Profielfoto
    pimoomen

    Ik dacht, ik probeer t met mn Amerikaanse AppleID zonder creditcard, met onzinwachtwwoord enz..
    En t werkte niet…. T ligt wss aan de app waarmee ik het geprobeerd heb, maarja… Toen snel mn ww veranderd, want je weet t maar nooit;)

  • Profielfoto
    youp.c

    Je kan natuurlijk altijd een nieuwe apple id aanmaken.

  • Profielfoto
    Dave123

    @Thomas18NL haha ik koop ook iTunes kaarten, nog altijd het beste ipv een kredietkaart

  • Profielfoto
    Leroyservices

    @Dave123:
    waarom is dat makkelijker? Toch juist onhandig steeds zn kaart kopen. Zelfde als een pre-paid inplaats van abo. Of zie ik dat verkeerd?

  • Profielfoto
    mac osx rules

    Vertrouw je je Apple ID toe aan een Nederlandse hacker dan wel?

    Praten we hier over een nieuwe-Nederlander? Is dit een strikvraag?

  • Profielfoto
    iNicky

    Volgens die blog op http://www.in-appstore.com/p/terms-of-service.html worden je persoonlijke gegevens juist niet naar de Rus verstuurd. Ik begrijp de heisa over je Apple ID en wachtwoord dan ook niet. Er staat expliciet dat deze gegevens niet vergaard worden.

  • Profielfoto
    Koen van Tongeren

    @iNicky op TNW staat expliciet dat dit wel gebeurt. Wij zijn uitgegaan van die nieuwsbron.

  • Profielfoto
    iNicky

    @Koen, en dat moet je natuurlijk ook. Probleem is dat je nu niet meer weet wat wel waar is en wat niet. Het kan ook FUD zijn om de stroom van illegale in-app aankopen zo snel mogelijk in te dammen.

  • Profielfoto
    Soulshaker

    wat is dat toch allemaal over dat id

    dan maak je toch gewoon een tweede aan, zonder credit kaart.
    Met fake gegevens en fake email

    Neemt niet weg dat ik dit liever niet doe.
    Wat zou de hacker doen met het geld , wat voor illegale dingen doet hij nog ?

  • Profielfoto
    Lastminuteguy

    Ik zag dit nieuws o.a. ook al op iPC en er moet me toch iets van het hart. Los van de ethiek hier achter en mijn mening over het wel of niet doen van deze “hack”. Stoor ik me enorm aan het gebrek aan nuance. Als je dit doet steel je helemaal niets en wordt er niets gestolen en ik heb het dan niet over het al dan niet versturen van je gegevens naar de hacker. Nee ik heb het over het gebruik van BREIN-achtige en Tim Kuik-achtige terminologie.

    Stelen, in juridische termen ook wel ontvreemden genoeg, vereist dat de oorspronkelijke eigenaar geen beschikking meer heeft over het “goed”. Denk bijvoorbeeld aan een auto, als ik een jouw auto steel dan heb jij de auto niet meer en kun jij er ook geen gebruik meer van maken.
    Dit (en alle andere vormen van downloaden) is puur kopiëren zonder toestemming (of als je het echt technisch wilt, gebruik maken van software zonder licentie). Het zou dus hetzelfde zijn als dat ik naar jouw auto kijk en er een exacte kopie van maak. De meeste autobezitters zouden daar geen problemen mee hebben. De meeste autofabrikanten echter wel (iets met minder verkoop etc.).

    De reden waarom mensen dit alsnog stelen noemen, los van het feit dat BREIN en co. een hype hebben gemaakt van deze term, is omdat dit gebeurt zonder de maker een bedrag te betalen. Met andere woorden de maker loopt geld mis en daarom voelt het voor veel mensen aan alsof je geld uit de zak van de maker jat. Toch is die zienswijze ook niet helemaal correct, immers blijkt uit verschillende onderzoeken, dat mensen die software downloaden (of namaak kleren kopen) toch nooit van plan zijn geweest of zullen zijn om het origineel te kopen. Kun je dan spreken van stelen? Naar mijn mening niet. Of het dan ineens niet meer “slecht” is, is een tweede en daar mag ieder zijn mening over hebben.

  • Profielfoto
    Kdingo

    Wat een lange tekst in je reactie, maar gelijk heb je!

    [ON TOPIC] nooit!

  • Profielfoto
    toineenzo

    Die rus heeft op de website zojuist gezet dat hij geen id’s wachtwoorden en andere gegevens niet gebruikt. Maar alsnog ik vertrouw het niet want dat bestand wat je op je idevice opent is geldig tot 2022!!!! Niet echt te vertrouwen.

  • Profielfoto
    Marius1976

    @Lastminuteguy
    Wat een helder verhaal! Nooit heb ik er op zo’n manier naar gekeken, maar je hebt zeer zeker een aantal punten!

  • Profielfoto
    Lastminuteguy

    Nog mijn excuses voor de lange tekst (en voor het gebrek aan alinea’s maar OMT staat ze niet toe). Het ging mij er vooral om, om een nieuwe manier van redeneren aan te reiken. Nogmaals, wat ik vind van dit en via Installous apps downloaden laat ik er buiten. Dat is ook meer een kwestie van smaak. Wél vind ik het pertinent onjuist om het diefstal te noemen.