20.02.2004, 16:49
Zitat:Pepsihack gegen Apples Musikshop
Manche Security-Postings bringen selbst ausgebuffte IT-Sicherheitsexperten zum Schmunzeln, obwohl sie eigentlich gar nicht richtig witzig sind: Da Pepsi-Flaschen nicht bis zum Rand befuellt werden, ist es moeglich, Informationen auszuspaehen und sich damit kostenlos Musikstuecke von Apples iTunes Music Store zu erschleichen. Das eigentlich als Scherz auf mehreren Sicherheitsmailinglisten gepostete Security Advisory beschreibt die Moeglichkeit, im Inneren der Flaschenverschluesse eingepraegte Gewinncodes auszuspaehen, ohne den Verschluss abzudrehen. So richtig witzig duerften aber zumindest die beiden Marketingpartner Apple und Pepsi das Ganze nicht finden: Spart man sich doch den Kauf der Flasche, kann aber den Gewinncode anschliessend in Apples Online-Store eingeben, um aktuelle Songs herunterzuladen -- immerhin 99 Cent spart man dabei. Etwas muehselig, aber machbar scheint es zu sein, tatsaechlich den vollstaendigen Code fuer einen Download herauszufinden -- sehr einfach ist es aber, den Kauf derjenigen Pepsi-Flaschen zu vermeiden, die keinen Gewinncode enthalten, sondern in deren Deckel lediglich "again" eingedruckt ist.
Anlass des auch auf CNet aufgegriffenen Themas war eine am vergangenen Super Bowl Sunday gemeinsam von Apple und Pepsi initiierte Kampagne zur Verlosung von 100 Millionen Songs. Haelt man eine Pepsi-Flasche im Winkel von 25 Grad, so ist die Inschrift der Kappe lesbar -- wer haette das gedacht. Derartige Social-Engineering-Attacken gab es laut Advisory schon bei aehnlichen Kampagnen des Herstellers Mountain Dew mit "Free Soda".
Der Hersteller ist von dem Problem bereits informiert, ein Patch oder Workaround gibt es nicht. In zukuenftigen Versionen soll der Fuellstand der Flasche erhoeht werden. Die Entdecker der Sicherheitsluecken haben bereits eine Anleitung veroeffentlicht -- bei herkoemmlichen Sicherheitsluecken wuerde man so etwas Proof-of-Concept-Exploit nennen.
:rofl: