Home » Apple » Schwachstelle bei App Store-Rechnungen: E-Mail kann Schadcode enthalten

Schwachstelle bei App Store-Rechnungen: E-Mail kann Schadcode enthalten

Benjamin Kunz Mejri vom Vulnerability Lab hat eine Lücke in Apples Abrechnungssystem aufgedeckt. Dies betrifft Rechnungen vom App Store gleichermaßen wie vom iTunes Store. Sobald ihr einen Einkauf über den besagten Online-Laden tätigt, wird vom System automatisch eine Rechnungen generiert und euch und dem Verkäufer per E-Mail zugesandt. Der Fehler im System liegt in der Zeile, in der das Gerät angezeigt wird, über welches ihr die Transaktion getätigt habt. In dieser ist es möglich einen Schadcode einzufügen, der von Apples Abrechnungssystem eins zu eins übernommen wird. Dadurch könnten Online-Kriminelle Sitzungen von Usern übernehmen oder selbige auf beispielsweise Fake-Seiten umleiten. Für Nutzer bleibt das unentdeckt, denn die Absenderadresse bleibt die bekannte @email.apple.com. Da haben selbst erfahrene User keine Bedenken. Der Code wird innerhalb eines Iframe in der HTML-Mail dargestellt, was im Glücksfall durch das Mail-Programm blockiert wird.

Unbenannt

Mejri hat den Fall im Juni diesen Jahres an Apple übermittelt. Eine Reaktion gab es darauf bislang jedoch nicht. Ebenso wenig wie die Schließung dieser brisanten Sicherheitslücke.

Über eure Apple-ID lässt sich der Kauf von Apps und Musik ebenfalls nachverfolgen.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Gefällt Dir der Artikel?

 
 
Sascha Schild
twitter Google app.net mail

16 Kommentare zu dem Artikel "Schwachstelle bei App Store-Rechnungen: E-Mail kann Schadcode enthalten"

  1. HansPeterNase 29. Juli 2015 um 12:30 Uhr ·
    Wie kann iOS so viele Bugs haben, wenn es nachts kälter ist als draußen?
    iLike 17
    • Waldi 29. Juli 2015 um 12:46 Uhr ·
      Wieso iOS?! Kannst auch mit dem Mac was im iTunes Store kaufen etc. Es geht ja um das Abrechnungssystem, welches zentral für sämtliche Applegeräte agiert!
      iLike 5
    • ICU 29. Juli 2015 um 13:54 Uhr ·
      Nachdem ein solches Thema in der Öffentlichkeit breitgetreten wurde, wissen jetzt auch tatsächlich die letzten Deppen in der letzten Reihe, wie sie Schadsoftware verteilen können! Eigentlich sollten bei euch tonnenweise Dankes E-Mails ein Treffen. Eine genaue Anleitung, wie man eine solche Software schreibt ist jetzt das einzige, was noch fehlt!
      iLike 5
      • Sascha Schild 29. Juli 2015 um 14:19 Uhr ·
        Ich denke, dass die Wirkung der Sensibilisierung hier deutlich höher ist, als die Anzahl der Nachahmer. Um das zu realisieren, muss man schon etwas Aufwand betreiben. Wir haben mit Absicht auf genaue Details verzichtet.
        iLike 6
  2. Philipp 29. Juli 2015 um 12:56 Uhr ·
    aber heißt das nur wenn ich die App APPLE benutze oder
    iLike 1
    • Dennis 29. Juli 2015 um 19:11 Uhr ·
      Ich hoffe du weißt das es keine App mit dem Namen APPLE gibt
      iLike 5
  3. Markenschwein 29. Juli 2015 um 13:04 Uhr ·
    Was mich immer so brutal nervt ist,dass Apple auf sowas nicht reagiert und Stellung bezieht. Man Jungs,kommt von Eurem hohen Thron runter und gesteht Fehler ein bzw seid dankbar,wenn ihr auf Bugs aufmerksam gemacht werdet!!!!!
    iLike 11
    • mrpc0815 29. Juli 2015 um 13:19 Uhr ·
      Oder die sollen den Fehler innerhalb ein paar Tagen beheben und dann ein Statement ab geben, das der Fehler entdeckt und behoben wurde.
      iLike 5
  4. inu 29. Juli 2015 um 13:37 Uhr ·
    Apple, sollte der Schadcode mich betreffen: dann gnade Euch Gott!
    iLike 2
    • Max 29. Juli 2015 um 14:02 Uhr ·
      Dann wird genau nichts passieren.
      iLike 13
  5. Maurice 29. Juli 2015 um 13:48 Uhr ·
    Apple wird immer mehr zum Sauhaufen… …das finde ich schade und absolut nicht verständlich.
    iLike 7
  6. ICU 29. Juli 2015 um 13:58 Uhr ·
    Ich lese hier in der letzten Zeit fast ausschließlich nur noch von unzufriedenen Usern. Warum steigt ihr nicht einfach auf einen anderen Anbieter um? Viel weniger Stress und viel weniger Zeit, die ihr mit destruktiven Kommentaren verbringen müsstet ;-)
    iLike 4
    • StefanE 29. Juli 2015 um 14:27 Uhr ·
      Die die unzufrieden sind wechseln oftmals mit Absicht nicht – ansonsten könnten sie sich ja nicht mehr bei den verschiedensten Möglichkeiten beschweren und meckern ;)
      iLike 4
    • Peter 30. Juli 2015 um 10:11 Uhr ·
      Ich hätte eh gerne ein Samsung Note 4. Echt toll der S-Pen. Aber wenn man dann so liest, was für Bugs es bei Samsung gibt und dann muss man ein halber Programmierer sein, um Android im Griff zu haben … Da bleib ich lieber noch bei Apple. Aber ein bisschen aufregen muss man sich schon. Sonst glauben die noch, die können sich alles erlauben. Ein bisschen Druck ist dir richtige Motivation. Dafür kassieren die ja auch ordentlich.
      iLike 2
  7. Fast 29. Juli 2015 um 18:54 Uhr ·
    ….und weil der Rest auf dem Markt noch schlechter ist……
    iLike 4
  8. Mimijet 30. Juli 2015 um 11:34 Uhr ·
    Auf Apple zu schimpfen ist hier wenig hilfreich. – Meine konkrete Frage : wie kann ich überhaupt den Schadcode unter dem Namen des devices erkennen, über den der Kauf getätigt wurde?? Wenn ich das richtig verstanden habe, geht eine Rechnung an mich und eine Kopie an den Verkäufer. So sieht er Name, Adresse und den E-Mail Teil meiner Apple ID. Aber das Passwort kann nicht identifiziert werden oder?? Ich wünsche mir eine gute Antwort als dieses Gesülze zu diesem Artikel. Dazu ist das zu wichtig.
    iLike 2

Leider kann man keine Kommentare zu diesem Beitrag mehr schreiben.