Google play Logo

InApp Billing bei Google Android gehackt!

Das InApp Billing von Google wurde offenbar gehackt.

Dem Entwickler “Dominik” von http://sufficientlysecure.org/ ist es gelungen, den inApp Billing Service von Google zu täuschen und beliebig inApp purchases zu tätigen. InApp Billing nennt man Einkäufe, welche man beispielsweise in einem Game tätigt (neue Waffen, etc.). Dabei hat der Entwickler einen eigenen Billing Service programmiert, diesen auf seinem Android Handy installiert und höher priorisiert als der original Billing Service von Google. Somit landen alle InApp – Purchase Anfragen nicht bei offiziellen Google Billing Service, sondern eben beim durch den Entwickler vorgegaukelten.

Timo Schmid, Java Entwickler bei der insign gmbh dazu:

So gesehen ist die Vorgehensweise von “Dominik” äusserst trivial. Er schickt einfach jedem Request an die Billing Schnittstelle ein “OK” zurück, was der anfragenden App anzeigt, das der Einkauf stattgefunden hat und der User bezahlt hat. Was er natürlich nicht hat.

Natürlich lassen sich damit “nur” Features freischalten welche in einer App bereits versteckt vorhanden sind. Die Einkäufe sind nach dem Hack nicht auf den Google Servern gespeichert. Aber dem einen oder anderen Cheater bei Games dürfte dies zu neuen Höhenflügen in Sachen Bewaffnung, etc. verhelfen.

Mit dem Hack können aber keine Einkäufe im Namen (und auf die Kreditkarte) anderer User getätigt werden. Es geht hier einzig darum, bestimmten Apps vorzugaukeln, das ein Einkauf erfolgreich stattgefunden hat.

Quelle: http://sufficientlysecure.org/index.php/2013/10/29/google-play-billing-hacked/