Presse-Informationen
iX

  1. heise group
  2. Presse-Informationen
  3. iX

iX-Magazin warnt: In-App-Bezahlfunktionen lassen sich leicht austricksen
Signaturprüfung auf Server schützt vor Missbrauch

Hannover, 25. Juni 2015 – Wer mit seinen Apps Geld verdienen will, sollte sie mit diversen Sicherheits­mechanismen, am besten auch serverseitig, vor Missbrauch schützen. Angriffe sind dadurch zwar nicht gänzlich auszuschließen, werden aber stark erschwert, schreibt das IT-Profimagazin iX in seiner aktuellen Juli-Ausgabe .

Die Funktion „In-App Billing“ (IAB) von Android und die ver­gleich­bare Funktion „In-App Purchase“ (IAP) unter iOS erlau­ben es einem App-Entwickler, mit wenig Aufwand Bezahl­funktio­nen in seine App zu integrieren, die über den Google Play Store oder Apple iTunes Store abgewickelt werden. Typische Anwendungsfälle sind hier Spiele, die Bonuspunkte, Spielgeld oder Erweiterungen – etwa neue Gegenstände und Spielwelten – innerhalb der App zum Erwerb anbieten. Doch das Abwickeln von Bezahlprozessen über App-Stores ist nicht nur für Kunden und Verkäufer komfortabel – für Angreifer, die „umsonst“ einkaufen wollen, leider ebenfalls.

„Gerade wenn die Implementierung von Sicherheitsfunktionen wie eine lokale Signaturprüfung – also auf dem Smartphone des Nutzers – vorgegebenen Strukturen folgt und sich an die generellen Funktionen des Betriebssystems hält, erlaubt dies auch allgemeine Angriffe, die bei einer Vielzahl von Appsfunktionieren“, erläutert iX-Redakteurin Ute Roos. Die Mög­lich­keiten, In-App-Billing-Funktionen auszuhebeln sind dann groß. Kriminelle können die Funktionsweise der App manipu­lieren, den Kaufprozess überspringen oder die App gleich so verän­dern, dass sie direkt im Premium-Modus startet. Klassischerweise wird dafür die App auf einem gerooteten Gerät installiert.

Entwicklern rät iX, die Signaturprüfung aller Einkäufe auf vertrauenswürdigen Serversystemen und nicht ausschließlich auf dem Gerät des Nutzers durchzuführen. Um zusätzlich App-spezifische Angriffe auszuschließen, sollten freischaltbare Inhalte erst nach einer Überprüfung des Kaufbelegs zum Herunterladen zur Verfügung stehen.