Werbung
Wir hatten die Hintergründe der "Man in the Middle"-Attacke bereits näher erläutert, von der Gefahren gewarnt und auch ein Interview mit einem Entwickler geführt, der von dem Hack nur durch eigene Sicherheitsmaßnahmen nicht betroffen war. Nun hat Apple seinen Entwicklern über das Developer-Portal schriftliche Dokumentation zum Vorgehen und Sample-Code zur Verfügung gestellt, damit diese sich gegen die Angriffe schützen können. Offenbar sieht Apple für iOS 5 keine Behebung des Fehlers über das Betriebssystem mehr vor, will iOS 6 aber dahingehend schützen. Für iOS 5 erlaubt Apple den Entwicklern aber die Nutzung sogenannter privater API. Genauer gesagt dürfen Entwickler die UDID verwenden, die mit jedem Receipts bei der Validierung eines In-App-Kaufs mitgeschickt wird.
Der Unique Device Identifier ist eine eindeutig dem jeweiligen iOS-Gerät zuzuordnende Nummer. Durch diese eindeutige Zuordnung konnten Entwickler die Nutzung ihrer Apps bestimmten Geräten und somit auch Nutzern zuordnen. Dies warf große Bedenken bezüglich der Privatsphäre der Nutzer auf, woraufhin Apple keine Apps mehr in den App Store gelassen hat, die Verwendung vom Unique Device Identifier machten.
Weiterhin verbessert Apple sein SSL-Zertifikat, so dass sich keine anderen Server mehr als App-Store ausgeben können. Ob die von einem russischen Hacker benutzte Methode bereits genutzte Receipts noch einmal zu verwenden damit völlig ausgehebelt ist, ist bisher nicht bekannt, aber wahrscheinlich.
[figure image=images/stories/newsbilder/aschilling/2012/mac-app-store.jpg]Mac App Store[/figure]
Weiterhin wurde nun bekannt, dass die verwendete "Man in the Middle"-Attacke auch für den Mac App Store versucht wird. Dazu sind zwei lokale Zertifikate notwendig und auch der DNS-Server muss geändert werden. Sowohl rechtlich wie auch moralisch gelten die gleichen Punkte wie bei iOS.