In mobilen Apps ist es Gang und Gäbe, dass die App an sich kostenlos ist, aber Premium-Items Geld kosten. Besonders beliebt ist diese Vorgehensweise bei Spielen. Wie sich nun herausstellte, können viele Apps aber leicht manipuliert werden – zum Schaden der Entwickler.
DigiDNA, die Entwickler von iMazing, berichten darüber, dass es Apps einem User zu leicht machen, In-App-Käufe zu manipulieren. Darauf gestoßen sind die Entwickler beim Test ihres eigenen Spiels, bei dem sie eine Backup-Funktion zum Export der Spielstände implementiert haben. Nachdem sie etwas herum probiert haben, gelang es ihnen, ein neues Spiel von Angry Birds 2 zu starten mit knapp einer Milliarden Diamanten, die eigentlich 10.000 Dollar als In-App-Kauf kosten würden – allerdings kostenlos.
Das Problem soll schon länger existieren und liegt auf Seite der Entwickler. Ein User, der sich In-App-Käufe erschleichen will, müsse lediglich ein iOS-Backup lokal per iTunes erstellen, es manipulieren und sein iPhone oder iPad damit wieder zurücksetzen. Bietet ein Entwickler aber die Möglichkeit an, Spielstände zu exportieren, ist das Ganze viel einfacher, denn in dem Fall muss nur der Spielstand importiert werden, was „keine Minute“ dauert.
In Anbetracht der kürzlich bekannt gewordenen Malware XcodeGhost stellt sich natürlich die Frage, inwiefern Apple etwas übersehen hat. DigiDNA schiebt hierbei den Schwarzen Peter zu den Entwicklern, die bei der Handhabung der In-App-Käufe nicht gut genug aufpassen. Es sei die Aufgabe der Entwickler, gekaufte Items im Schlüsselbund (Keychain) aufzubewahren oder wenigstens zu verschlüsseln – sie einfach offen zu den Benutzerdaten zu legen, ist keine gute Idee. Apps, die sich auf diese Weise betrügen lassen, machen dahingehend vieles falsch: Sie speichern diese Informationen unverschlüsselt außerhalb des Schlüsselbundes und folgen nicht Apples Empfehlung, derartige Items von Backups auszuschließen.
[via BGR]