Presse-Informationen
iX
iX-Magazin warnt: In-App-Bezahlfunktionen lassen sich leicht austricksen
Signaturprüfung auf Server schützt vor Missbrauch
Hannover, 25. Juni 2015 – Wer mit seinen Apps Geld verdienen will, sollte sie mit diversen Sicherheitsmechanismen, am besten auch serverseitig, vor Missbrauch schützen. Angriffe sind dadurch zwar nicht gänzlich auszuschließen, werden aber stark erschwert, schreibt das IT-Profimagazin iX in seiner aktuellen Juli-Ausgabe .
Die Funktion „In-App Billing“ (IAB) von Android und die vergleichbare Funktion „In-App Purchase“ (IAP) unter iOS erlauben es einem App-Entwickler, mit wenig Aufwand Bezahlfunktionen in seine App zu integrieren, die über den Google Play Store oder Apple iTunes Store abgewickelt werden. Typische Anwendungsfälle sind hier Spiele, die Bonuspunkte, Spielgeld oder Erweiterungen – etwa neue Gegenstände und Spielwelten – innerhalb der App zum Erwerb anbieten. Doch das Abwickeln von Bezahlprozessen über App-Stores ist nicht nur für Kunden und Verkäufer komfortabel – für Angreifer, die „umsonst“ einkaufen wollen, leider ebenfalls.
„Gerade wenn die Implementierung von Sicherheitsfunktionen wie eine lokale Signaturprüfung – also auf dem Smartphone des Nutzers – vorgegebenen Strukturen folgt und sich an die generellen Funktionen des Betriebssystems hält, erlaubt dies auch allgemeine Angriffe, die bei einer Vielzahl von Appsfunktionieren“, erläutert iX-Redakteurin Ute Roos. Die Möglichkeiten, In-App-Billing-Funktionen auszuhebeln sind dann groß. Kriminelle können die Funktionsweise der App manipulieren, den Kaufprozess überspringen oder die App gleich so verändern, dass sie direkt im Premium-Modus startet. Klassischerweise wird dafür die App auf einem gerooteten Gerät installiert.
Entwicklern rät iX, die Signaturprüfung aller Einkäufe auf vertrauenswürdigen Serversystemen und nicht ausschließlich auf dem Gerät des Nutzers durchzuführen. Um zusätzlich App-spezifische Angriffe auszuschließen, sollten freischaltbare Inhalte erst nach einer Überprüfung des Kaufbelegs zum Herunterladen zur Verfügung stehen.