Koen van Tongeren
Koen van Tongeren Nieuws 14 juli 2012

Gratis in-app aankopen in ruil voor je AppleID, wachtwoord en ziel

Het is de Russische hacker Alexey Borodin gelukt om gratis in-app aankopen te doen binnen iOS-apps. De methode die hij hiervoor verzon vereist geen jailbreak en is door iedereen met een iOS-apparaat uit te voeren. Er is zelfs een online uitleg beschikbaar.

De rechtschapen  Alexey heeft er wel bij gemeld dat stelen van content stout is. Wij voegen er graag aan toe dat het ook heel dom is, want je geeft hem er onder andere je Apple ID en wachtwoord mee.

De hack wordt uitvoerig uiteengezet in een interview dat The Next Web met Alexey had. Kortweg komt het er op neer dat hij een manier heeft gevonden om de authenticatie die Apple gebruikt bij in-app aankopen na te bootsen via een eigen server. Gebruikers moeten hiervoor een speciaal certificaat downloaden en hun DNS-instellingen aanpassen.

Alexey’s methode werkt niet bij alle in-app aankopen. De aankoop moet al een keer gedaan zijn om de authenticatie na te kunnen maken. Daarbij werkt de methode niet bij apps die een eigen methode hebben ingebouwd voor authenticatie van in-app aankopen.

De hack werd op vrijdag opgepikt door een Russisch blog en heeft inmiddels ook de aandacht van Apple getrokken. Via The Loop verklaarde woordvoerder Natalie Harrison dat het probleem serieus genomen wordt en dat inmiddels een onderzoek gestart is.

The security of the App Store is incredibly important to us and the developer community. […] We take reports of fraudulent activity very seriously and we are investigating.

We waarschuwen nog maar een keer: het stelen van content is niet cool en in dit geval ook heel gevaarlijk, want ondanks Alexey’s uitspraak dat hij geen persoonlijke informatie van gebruikers opslaat… vertrouw jij je Apple ID toe aan een Russische hacker?

Reageer op artikel:
Gratis in-app aankopen in ruil voor je AppleID, wachtwoord en ziel
Sluiten