Google Checkout und dubiose iPhonianer
Hui, es ist da, das iPhone OS 4! Also zumindest die Featurelist und die Developer-Version. Um letztere dreht sich auch dieser Blogpost, zumindest als Einleitung. Ach whatever, jedenfalls hat gerade @michelb einen Link auf Twitter getweetet, der zu einem “UDID activation service” für das erwähnte iPhone OS 4 führt. Laut der Seite kann man sich bei denen sein iPhone für die OS4-Beta freischalten lassen und so die $79 Developer-Account-Gebühr bei Apple sparen. Aber nur auf den ersten Blick.
Auf den zweiten springt einem nämlich folgender Textausschnitt ins Auge:
An Example UDID is: SXQncyB0aW1lIGZvciBJViB0byB1bmxlYXNoIGl0J3MgcG93ZXJzLg==
was daran so auffällig ist? Die =-Zeichen, die auf eine Base64-Verschlüsselung hindeuten. Entschlüsselt steht dort dann
It’s time for IV to unleash it’s powers.
wer oder was auch immer diese[r/s] “IV” ist. Und auch auf der FAQ-Seite gibt es so einige komische Sachen. Als erstes stellt man fest, dass der auf den ersten Blick kostenlos aussehende Service garnicht so kostenlos ist:
We do all this for a one-time fee of $10.
Tjoa, aus der Traum vom unkomplizierten kostenlosen iPhone OS 4. Weiterhin steht dort noch
Q. I live in the U.S. Do I have to use ATT to use Beta 4.0?
A. Absolutely. Failure to do so will give you a $500 paperweight.
äh ja, wünschen wir uns nicht alle einen $500 Briefbeschwerer?
Ok, von der Seite lassen wir dann mal besser die Finger. Aber etwas anderes ist doch noch ganz interessant: Die Seite nutzt Google Checkout. Ich hab das noch nie benutzt und weiß auch recht wenig darüber, allerdings ist mir folgender Codeschnippsel ins Auge gesprungen:
<input name="item_price_1" value="10.00" type="hidden"> <input name="item_currency_1" value="USD" type="hidden">
Moment, kann man da nicht, mit Firebug… Ja, kann man:
(klick zum größer machen)
Und schon wär’ man Millionär oder wie? Ich kenn mich wie gesagt mit Google Checkout nicht so wirklich aus, hat da einer Erfahrungen? Beim Heise Live-Hacking auf der CeBit hab’ ich mal erfahren, dass jeder weitere Schritt jetzt nicht mehr so ganz legal wäre, also lass ich das mit dem Ausprobieren mal lieber.
Ziemlich billiger Betrug
Über die UDID können die dir eine App schmieden, der auf deinem iPhone/iPod läuft *ohne* von Apple genehmigt zu sein (wegen Entwickler-Signatur).
Weil man denkt, man bekommt eine tolle “4.0 Firmware”, installiert man es auch noch.
Zum Schluss wird sich dann gewiss herausstellen, dass diese App ein Trojaner oder Virus ist.
Würde zu gerne wissen, was die “Firmware” dann genau macht. Telefonbuch auslesen? Daten löschen?
Oder noch einfacher: statt einer App lädst du dir einen $10 teurenComputer-Virus herunter..
[...] This post was mentioned on Twitter by Lukas K.. Lukas K. said: Ich hab gebloggt, und auch der @michelb wird erwähnt =O http://lukasklein.com/index.php/2010/04/08/google-checkout-und-dubiose-iphonianer/ [...]