Russische Hacker umgehen In-App-Käufe mit Hilfe eines Proxy

Eine erschreckende Meldung macht aktuell die Runde durch die Blogosphäre. Russische Hacker haben einen Weg gefunden In-App-Käufe ohne Bezahlung durchzuführen und jeder Benutzer kann diese Methode ohne weitere Kenntnisse verwenden. Dementsprechend muss Apple schnellstmöglich reagieren und eine Lösung für dieses Problem finden, ansonsten werden zahlreiche Entwickler enorme Schäden erleiden. Bislang wurden kurzfristig die In-App-Käufe von Apple unterbunden, um mögliche Missbräuche zu verhindern.

Die genannte Methode kann auf jedem iOS-Gerät vollkommen ohne Jailbreak durchgeführt werden. Es müssen lediglich zwei iPhone-Zertifikate, die von den Hackern zum Download bereitgestellt wurden, installiert werden und die DNS-Einstellungen auf dem Gerät entsprechend angepasst werden. Anschließend werden die erfolgreiche In-App-Käufe über einen modifizierten HTTP-Header vorgetäuscht.

Jedoch werden bei der Kommunikation mit dem russischen Server etliche Daten von dem jeweiligen iOS-Gerät übermittelt. So bekommen die Hacker unter anderem die Identifikationsnummer des Gerätes, der jeweilige App und zahlreiche weitere Daten. Aus diesem Grund und natürlich auch wegen den Schäden den die Entwickler dadurch erleiden, empfehlen wir euch, Abstand von dieser Methode zu nehmen und weiterhin die Entwickler zu unterstützen.

Update 14.07.2012:
Gegenüber The Loop hat sich Apple bereits geäußert und bekannt gegeben, dass die Berichte über die betrügerischen Aktivitäten sehr ernst genommen werden. Apple analysiert die Sachlage und findet sicherlich sehr schnell eine zufriedenstellende Lösung für Entwickler sowie Kunden.

“The security of the App Store is incredibly important to us and the developer community,” Apple representative Natalie Harrison, told The Loop. “We take reports of fraudulent activity very seriously and we are investigating.”

Siri-Experimente: Tüftler machen aus Siri einen Autoschlüssel, iTunes-, Plex-Fernbedienung und vieles mehr

Seitdem eine öffentliche Anleitung zur Realisierung eines eigenen Proxy-Servers für die Sprachsteuerung zur Verfügung steht, ist unter den Entwicklern ein regelrechter Experimentier-Hype ausgebrochen. Erst vor kurzem haben wir über Pete “Plamoni” Lamonicas berichtet, der ein Plugin für Siri entwickelt hat, um sein Thermostat einzustellen und Temperaturen abzufragen. Mittlerweile sind zahlreiche Neuentwicklungen im Netz aufgetaucht, die wir euch nicht vorenthalten wollen.

Die Programmiererin und Buchautorin Erica Sadun entwickelte eine Möglichkeit Sprachbefehle auszuwerten und damit ihr eigenes App zu steuern. Dabei funktioniert dieses Konzept ohne Jailbreak oder zusätzlichen Proxy-Server. Ihr Wunsch ist es, Siri nicht mehr manuell aktivieren zu müssen, um die Applikation zu steuern.

Zitate von Erica Sadun über die Funktionsweise ihrer App:

Instead of having Siri interpret commands and return ACE objects that match tasks I want to accomplish (my original approach), I do the text matching and interpretation myself.

I didn’t want to install a proxy server or jailbreak my iPhone. I just wanted to use Siri dictation to issue commands to my apps, and I wanted to do that without having to display a keyboard that took up 50% of my iPhone screen

I start dictation on the button press, stop it on the button release, and then catch the interpreted text and compare it against four words: up, down, left, and right. If these are found, the app runs the matching animation.

Die Entwicklern vermutet weiterhin, dass ähnlich gestrickte Anwendungen problemlos durch die Überprüfung von Apple kommen würden. Dies würde jedoch eine voll eingeblendete Tastatur voraussetzen, die im Nachhinein wieder ausgeblendet werden könnte.

In dem folgenden Video wird die kleine Konzept-Anwendung präsentiert:

Neben dem sehr netten und zukunftsorientierten Konzept von Erica Sadun, wurden auch zahlreiche Plugins mit Hilfe eines Proxy-Servers verwirklicht. Die folgenden Videos zeigen euch verschiedene Einsatzmöglichkeiten für die Sprachsteuerung. Die ersten beiden Vorführungen zeigen euch eine iTunes- und Plex-Fernbedienung. Zum Schluss sind noch zwei Videos eingebettet in denen Siri ein Auto startet und weitere Funktionen eines elektronischen Autoschlüssels übernimmt.

via flowblog.de

Siri-Hack: Erste Umsetzung eines Proxy-Servers und eigenen Sprachbefehlen [Video & Anleitung]

Wir haben bereits vor einigen Tagen darüber berichtet, dass das Sicherheitsprotokoll für den Sprachassistenten entschlüsselt wurde, um die Kommunikationen zwischen Siri und dem Apple-Server näher zu analysieren. Mit diesem Wissen können andere Entwickler ihren eigenen Siri-Proxy erstellen und neue Sprachbefehle implementieren. Auf Github werden unter anderem alle erforderlichen Programme bereitgestellt, um Siri mit eigenen Kommandos zu erweitern. Der Anpassung von Siri steht dadurch nichts mehr im Wege.

Wichtiger Hinweis:
Apple könnte natürlich den einkommenden Traffic eures iPhone 4S messen und durch überdurchschnittlich viele Anfragen von der selben UDID bemerken, dass ihr diese Methode verwendet. Die Folge könnte die Sperrung der benutzen UDID bedeuten. Vermutlich wird durch den reinen privaten Gebrauch keine Gefahr für euch entstehen, dennoch können wir es nicht garantieren und übernehmen natürlich keine Haftung.

Ein Entwickler namens Pete “Plamoni” Lamonicas konnte die ersten eigenen Funktionalitäten für die Sprachsteuerung entwickeln. In seinem ersten Versuch hat er einen eigenen Proxy-Server aufgesetzt und ein Plugin für Siri entwickelt, um sein W-Lan Thermostat zu kontrollieren. Dadurch kann das Thermostat auf Status-Befehle reagieren und eine bestimmte Temperatur kann festgesetzt werden. Zusätzlich wurde ein Video veröffentlicht, welches die Funktionsweise genauer demonstriert.

Ermöglicht werden die Siri-Interaktionen durch einen Verschlüsselungsfehler von Apple, welcher sicherlich mit Freigabe der nächsten iOS-Version behoben wird.

Weiterhin hat sich der deutsche Blog Hack2Learn die Mühe gemacht und eine deutsche Anleitung für den oben beschriebenen Weg verfasst. Dadurch sollte es jedem erfahrenen Programmierer möglich sein eigene Plugins zu entwickeln und einen privaten Siri-Proxy aufzusetzen. Die Anleitung ist sehr anschaulich gestaltet und sollte jedem interessierten Entwickler die notwendigen Schritte erklären.

Update:
Eine englische Video-Anleitung ist vor kurzem erschienen, mit der ihr euren eigenen Proxy-Server für Siri aufzusetzen könnt. Weiterhin wurde ein neues Plugin vorgestellt, namens ELIZA, welches eine Art Computertherapeut darstellen soll.

Setting up DNSMASQ on your Mac for SiriProxy

via