Compyblog

Jubelmeldung aus dem Hause Apple: Seit dem letzten Mittwoch sind drei Millionen Berglöwen durch die Internetze gelangt. Okay, Ernst beiseite: Drei Millionen Downloads der neuesten Version des Mac-Betriebssystems meldet Apple. Was das dann für einen Anteil an Macs erreicht, habe ich keine Ahnung, aber ich habe mir inzwischen drei von vier Macs auf das berglöwige OS aktualisiert, und das von einem Download. Spannend wäre es ja mal, die Verbreitung des Mac-Systems mit anderen Software-Upgrades zu vergleichen, aber da fehlen mir komplett die Daten für.

Dass Kopierschutzsysteme selten nur positive Auswirkungen haben, dürfte seit dem Sony-Rootkit bekannt sein. Ein aktueller Beweis, dass das immer noch stimmt, wird von der Firma Ubisoft geliefert, die bei der Installation eines Spiels gleich noch ein Browser-Plugin mitliefert, dass eine (vermutlich unbeabsichtige, aber wer weiß das schon) Hintertüt enthält, über die Rechner kompromittiert werden können. Der Vorfall zeigt mal wieder, dass die ehrlichen Kunden beschissen werden, die brav für die Software bezalen. Die Raubmordkopierterroristen, die den DRM-Dreck ausgehebelt haben, haben logischerweise auch die Hintertür nicht. Da kann man wohl Spielern nur raten, Ubisoft-Spiele bis auf weiteres nicht aus offiziellen Quellen z beziehen.

Gestern Nachmittag hat Apple, wie bereits seit Wochen gerüchtet, und beim Quartalszahlenbericht am Vortag angekündigt, das neueste Betriebssystem-Update, OS X 10.8, Mountain Lion, veröffentlicht. Wie auch zu den vergangenen Mac-System-Versionen gibt es wieder einen episcen Bericht von Herrn Sicarusa auf Ars Technica zu lesen. Während ich das hier am Mittwoch Abend schreibe, installiert der Berglöwe sich gerade auf dem älteren meiner beiden MacBook Air, in einer geschätzten runden halben Stunde. Entsprechend kann ich noch gar nicht mit eigenen Erfahrungen zu dem System dienen.

Der Preis für das Wildkatzen-Update ist mit knapp 16 Eurinos auch ganz überschaubar. Da fällt mir auf, dass ich nie eins der 130 Geld teuren OS-Updates gekauft habe.

Und während ich hier noch schreibe, ist der Installationsprozess fertig geworden. Sieht so erstmal ganz in Ordnung aus.

Seit ein paar Tagen (vielleicht ne Woche) geistert eine Anleitung durchs Netz, wie man sich In-App-Käufe auf dem iPhone ohne Bezahlung erschwindeln kann. Dafür muss man 'nur' seinen gesamten Datenverkehr an Apple über einen (ursprünglich russischen) Server leiten, ein SSL-Zertifikat akzeptieren, und dabei vergessen, dass damit das Passwort des iTunes-Store-Accounts auch an den Server in Weitweg geht. 

Hintergrund der Geschichte ist, soweit ich das verstanden habe, dass bei einem In-App-Kauf das iGerät bei Apple anfragt, ob der Kauf so okay ist. Der User wird dabei nach seinem Passwort gefragt, und die App bekommt dann eine Bestätigung, wenn der Kauf durchgegangen ist. Die App kann nun die Bestätigung nochmal an die Apple-Server schicken, ob die okay ist, was aber in diesem Fall nichts brachte, weil da immer eine 'passt schon'-Antwort zurück kam. Nicht betroffen waren übrigens Apps, die die Überprüfung außerhalb des iGeräts gemacht haben (zum Beispiel auf eigenen Servern), weil die ja nicht durch die verdrehte Einstellung die russische Rechenkiste befragt haben, sondern direkt bei Apple nachgefragt haben.

Apples erste Reaktion darauf war, irgendwie die spezifische IP zu blockieren, was nur dazu geführt hat, dass der Rechner relativ schnell unter einer anderen IP wieder erreichbar war, die offiziellen Stellen zur Beseitigung des Rechners aufzufordern, was soweit ich weiß, nicht sehr erfolgreich war. Dann gab es Versuche damit, dass irgendwelche obskuren Felder mit in die Übertragung einbezogen wurden bei Apple, was aber auch nicht letztendlich geholfen hat.

Am Wochenende hat Apple dann angekündigt, dass in iOS 6 ein Fix enthalten sein soll, wie auch immer der aussehen mag. Und au0erdem haben sie eine Dokumentation veröffentlicht, die mit Codebeispielen zeigt, wie man eine sichere Überprüfung trotz allem erreichen kann. Dass dabei private (und damit eigentlich verbotene) API-Aufrufe genutzt werden, erlaubt Apple ausdrücklich für diesen konkreten Fall. Und wie sich dann herausstellt, reicht das dann bereits, um den 'Hack' auszuhebeln.

Der Sicherheits-Schlecksperte Ponyfe will natürlich schon von Anfang an alles besser gewusst haben. Und dann bleibt noch der komische Nachgeschmack von Leuten, die lieber ihre Daten einem 'vertrauenswürdigen' Russen geben, als die In-App-Käufe einfach zu bezahlen. Wenn die dann rumheulen, weil ihre iTunes-Accounts gehackt wurden, habe ich jedenfalls gerade kein Mitleid verfügbar. Wobei vermutlich nicht viele Leute zugeben dürften, dass sie Funktionen für lau haben wollten, die eigentlich bezahlt werden sollten.