Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Kaufverhalten im iTunes Store über Datenlücke zugänglich

Wie Andrew McAfee in seinem Blog berichtet, existiert in Apples iTunes Store eine Datenlücke, mit der sich das Kaufverhalten von fremden Accounts analysieren lässt. Ein Angreifer braucht dazu nur die E-Mail-Adresse des Opfers kennen. An diese E-Mail-Adresse versucht der Angreifer dann mehrere umfangreiche Wiedergabelisten zu schenken. Eigentlich als praktische Hilfe gedacht, informiert iTunes daraufhin den Angreifer über doppelte Geschenkposten, die das Opfer bereits gekauft hat. Da der Zahlungsvorgang erst ganz am Ende bestätigt werden muss, erhält der Angreifer so ohne jegliche Kosten von seinem Opfer alle persönlichen Informationen über gekaufte Apps, Filme und Lieder. Automatisiert man diesen Prozess, lässt sich so relativ schnell ein Kaufprofil erstellen. Die Folge davon könnten beispielsweise personalisierte Phishing- und Social-Angriffe sein. Als Lösung verweist McAfee auf Amazon, die beim Kindle das Problem relativ elegant gelöst haben. Statt zu verraten, dass ein Geschenk bereits gekauft wurde, erhält der Beschenkte die doppelten Posten einfach als Guthaben auf sein Konto.

Weiterführende Links:
Update-Abend: macOS 15.1.1, iOS 18.1.1, iPadOS 18.1.1 und visionOS 2.1.1 erschienen (Aktualisierung)
Update-Abend: macOS 15.1.1, iOS 18.1.1, iPadOS ...
Ohne Abo: Microsoft veröffentlicht Office 2024 für den Mac
Ohne Abo: Microsoft veröffentlicht Office 2024 ...
Qualitätsprobleme bei MacBook-Displays: Apple tauscht Zulieferer aus, fing Charge aber ab
Qualitätsprobleme bei MacBook-Displays: Apple t...
iPhone 16 Pro
iPhone 16 Pro
iPhone 16: Welche Netzteile schnelles Laden versprechen
iPhone 16: Welche Netzteile schnelles Laden ver...
Apple TV+: Strategiewechsel?
Apple TV+: Strategiewechsel?
Sonos-Qualitätsmisere: Viele Maßnahmen, damit "alles besser wird"
Sonos-Qualitätsmisere: Viele Maßnahmen, damit "...
Leaks zum iPhone 16 Pro: Startpreis, Akkulaufzeit, Kamera-Features
Leaks zum iPhone 16 Pro: Startpreis, Akkulaufze...

Kommentare

andif822.02.11 14:05
Huch! Jetzt weiss jeder, dass ich einen Lady Gaga-Song in meiner Kollektion neben Bach stehen habe Noch schlimmer ich habe mir vor kurzem Zweiohrküken ausgeliehen. Na, ja: Peinlich kann's nicht werden, da iTunes eh nur cleane Produkte anbietet
0
Stefan S.
Stefan S.22.02.11 14:08
bei Amazon verschenkt man also Doppeltes und der beschenkte kriegt ne Gutschrift. naja. Da lieber die Apple-Lösung.
Besser wäre die Abfragen auf 10 beschränken.
0
o.wunder
o.wunder22.02.11 14:29
Tja oder einfach nicht rückmelden was der Beschenkte schon hat und damit das Konto des Schenkenden nicht belasten.
0
Boedefeld22.02.11 14:50
Oh mein Gott, wie schlimm.
Es gibt bei Apple sicherlich einige Lücken, aber das hier ist doch einfach lächerlich in meinen Augen.
Von einer Datenlücke kann man da meiner Meinung nach einfach nicht reden...
0
TiBooX
TiBooX22.02.11 14:50
o.wunder
Schon mal "Mastermind" gespielt?!
z.B:

Auf diese Weise kann man an den Beträgen per geschicktem versenden verschiedener Kombinationen die Liste des "Beschenkten" ausspionieren.
Es dauert nur ein wenig länger, ist aber für ein Programm kein Problem.
People who are really serious about software should make their own hardware [A. Kay]
0
TiBooX
TiBooX22.02.11 14:51
Boedefeld
Vollkommen richtig.
Spätestens am Traffic sollte Apple die Spione schnell erkennen.
Schon in Apples eigenem Interesse. (Bandbreite kostet Geld)
People who are really serious about software should make their own hardware [A. Kay]
0
Dante Anita22.02.11 15:03
So locker wie das hier alle sehen ist das allerdings nicht. @Apple: Lücke schließen!
0
Boedefeld22.02.11 15:11
Dante Anita: Wäre es schlimm, wenn ich wüsste, was du dir im iTunes Store gekauft hast?
Ich versteh das angebliche Problem nicht...
0
halebopp
halebopp22.02.11 15:13
Dann flöge ja meine heimliche Leidenschaft für Florian Silbereisen auf. O je!
Das war ich nicht - das war schon vorher kaputt!
0
fourtriplesix
fourtriplesix22.02.11 15:21
mir doch latte wer sieht was ich kaufe - was soll das dem "spion" bringen?!
Sag niemals nie!
0
PaulMuadDib22.02.11 15:28
Nun ja, Apple sollte schon da sich was einfallen lassen. Aber so schlimm finde ich es jetzt nicht. Dann lieber zuerst richtige Sicherheitslücken schließen.
0
PaulMuadDib22.02.11 15:29
Nun ja, Apple sollte schon da sich was einfallen lassen. Aber so schlimm finde ich es jetzt nicht. Dann lieber zuerst richtige Sicherheitslücken schließen.
0
Flaming_Moe22.02.11 15:34
kampf den datenlück.... äh achso es handelt sich ja hier um apple, dann ist es natürlich nur halb so schlimm tzzzz
0
fronk
fronk22.02.11 15:35
Leute, ein Sicherheitsloch ist ein Sicherheitsloch und gehört gestopft! Auch wenn die Auswirkungen eher gering sein sollten. Darüber gibt es wohl nix zu diskutieren.
Haters, go away and hate yourself!
0
HR22.02.11 15:36
Sollte Apple lösen, aber ich glaube im Zeitalter von Facebook und co. ist der Exhibitionismus der User doch jetzt schon viel zu hoch.
0
Gilderoy Lockhart22.02.11 15:37
nicht so schlimm... nur mal so ein Anwendungsbeispiel (die Mail-Adresse hat der Angreifen ja auch so nebenbei validiert bekommen und kann daher folgende Mail schicken):

Lieber Apple-Kunde,

Du hast den Titel WZ im iTunes Store gekauft. Leider gab es beim Erstellen dieses Titels ein technisches Problem. Dieses ist mittlerweile gelöst. Wenn Du den Song in technisch nun einwandfreier Qualität hören willst, dann klicke bitte <a href="böse-böse-seite">hier</a> und folge den Anweisungen.

Was die böse böse Seite dann macht... keine Ahnung. Vielleicht noch zwei Titel nennen und dann zur Eingabe der Account-Daten auffordern, damit angeblich Geld zurücküberwiesen werden kann oder Gutscheine verteilt werden können?

0
thomas b.
thomas b.22.02.11 15:39
So wie es im Artikel steht, wird man nur auf die Dubletten hingewiesen und bekommt keinen kompletten Einblick in die persönliche Bibliothek. Vielleicht nicht optimal, aber auch nicht gerade ein echtes Sicherheitsproblem.
0
Boedefeld22.02.11 15:39
Gilderoy Lockhart: In diesem Fall sitzt der Fehler aber wieder vor dem Bildschirm. Und diese Mail kann man auch verschicken ohne diese "Lücke" im iTunes Store...
0
Gilderoy Lockhart22.02.11 15:49
@Boedefeld: Der Witz bei der Mail ist, dass validierte Informationen verwendet werden können. Auf diese Weise wird des Opfer nicht so schnell verdacht schöpfen. Klar ist das ein typisches Phishing-Szenario, aber eben durch die Angabe der tatsächlich gekauften Titel eben ziemlich schwierig als solches zu erkennen. Das ist ja meistens das Problem bei Sicherheitslücken, dass Dritte an Daten kommen, die dann entsprechend missbraucht werden können.
0
applelizzer
applelizzer22.02.11 16:02
Ich könnte mich darüber kaputtlachen! Soll Apple die Funktion doch abändern und gut is!
0
murmillo
murmillo22.02.11 16:13
Oh nein, oh nein oh nein, lasst uns alle schnell zu McAffe laufen und ihnen unser Geld geben, dann gehen die bösen Dinge bestimmt weg...hat aufm PC ja auch funktioniert?!
0
crissi22.02.11 16:20
Sollen sie eben die Anzahl der zu verschenkenden Artikel in einem Rutsch einschränken und dann die Verschenkanfragen auf drei Stück pro Stunde / Tag reduzieren und gut ist. Das würde im realem Geschäftsbetrieb vermutlich den weitaus meisten nicht einmal auffallen und das Problem wäre damit erledigt.
0
Bernd Eichhorn22.02.11 16:24
Ich bin kein iTunes-Kunde, kenne mich da also nicht aus, aber wenn ich das richtig verstanden habe, hat Herr McAffee seiner Mutter Musik schenken wollen und bekam als Feedback, dass die Mutter einen Teil der Titel schon bei iTunes gekauft hat. Wenn er die Musik verschenken wollte, musste er sie vorher kaufen, oder? Das täte dann bedeuten, dass jemand erst mal Geld ausgeben muss, um herauszufinden, was wer hat. DAS ist dann bestimmt kein Bug, sondern ein Feature.
0
alpeco
alpeco22.02.11 16:41
Das ist wirklich lächerlich. Bevor sich jemand daran macht, alle möglichen Produkte zu prüfen, muss er nur die Top 10 der Apps, Musik etc. zufällig auswählen. Der Erfolg wird der gleiche sein. Und, Apple: Wann nimmst du die Charts aus iTunes, häh?
0
Dante Anita22.02.11 16:54
@boedefeld:
Es geht um die Frage, wie ein Unternehmen mit den Daten umgeht, die ein Kunde zur Verfügung stellt bzw. die im Geschäftsbetrieb anfallen. Klar ist es in dem Fall kein Drama, aber grundsätzlich geht es niemanden was an und gehört daher abgestellt.

An die anderen basher: was würdet ihr davon halten, wenn man über euren Handyanbieter abfragen könnte, welche Nummern ihr angerufen habt? Geht auch niemanden was an.
0
Boedefeld22.02.11 17:52
Der Vergleich hinkt extrem, Anita...
0
Richard
Richard22.02.11 18:20
Hat den das schon einer automatisiert? Den nur wenn das geht wäre es ja eine Lücke. Auf gut Glück 10 Titel abzufragen um jemand auszuspionieren ist wohl eher Glücksache.
iMac 27 :: MacBookPro Retina :: OS X 10.13
0
roemerle22.02.11 20:21
Es ist eine Lücke, unnötig zu erwähnen das sie weg muss, bevor einer eine richtig gute Idee hat was man noch damit anfangen könnte
0
zornzorro22.02.11 20:23
@anita:

hoffentlich trägst du im Plattenladen dann auch immer einen Gesichtsschleier und zahlst nur bar, achte aber unbedingt darauf, dass dir keiner bis zu deinem Auto folgt, du weißt ja, die Daten...
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.