Falls es noch eines Belegs dafür bedarf, dass Apples In-App Purchase System einer dringenden Überarbeitung bedarf und deutlich flexibler werden muss, liefert diesen nun Twitter. Dort hat man, wie heute Morgen berichtet, ja nun in den USA und in Kanada seine "Super Follow" Funktion gestartet, bei der Journalisten und weitere Persönlichkeiten mit großer Follower-Gemeinde (mindestens 10.000) ihre Exklusiv-Tweets auch gegen Bezahlung anbieten können. Da es sich hierbei aber um den Verkauf einer digitalen Dienstleistung über eine iOS-App handelt, ist Twitter (zumindest aktuell noch) auf Apples In-App Kaufsystem angewiesen. Dies wiederum bedeutet, dass es fortan einen eigenen In-App Kauf für jeden "Super Follow" Anbieter ei Twitter gibt. Der folgende Screenshot von Jane Manchun Wong zeigt die hanebüchenen Auswirkungen dieses Systems im AppStore.

Each Super Follow is an In-App Purchase on the App Store,

but because there are too many IAPs for the Twitter app, the App Store only shows 10 instead of the full list pic.twitter.com/PPT3bQDCJz

— Jane Manchun Wong (@wongmjane) September 2, 2021

Für Twitter dürfte dies im Umkehrschluss bedeuten, dass man für jeden "Super Follow" Anbieter manuell einen eigenen In-App Kauf im AppStore anlegen muss. Selbst Apple dürfte dabei (hoffentlich) feststellen, dass dies nicht sein kann. Interessant dürfte zudem werden, wie es aussieht, wenn die Zahl der "Super Follow" Anbieter die 10.000 überschreitet. Aktuell ist dies nämlich die maximale Anzahl von unterschiedlichen In-App Käufen, die ein Entwickler anlegen kann.

Das Thema In-App Purchase (mehr dazu später in den AppStore Perlen) hat aus meiner Sicht nach wie vor mehr Schatten- als Lichtseiten. Die wenigen wirklich sinnvollen Implementationen werden dabei deutlich von den nervigen Schlumpfbeeren-Abzockern ausgestochen. Unter Umständen bahnt sich allerdings hier (mit iOS 7.1?) eine Verbesserung an. So berichtet ZDNet, dass sich Apple auf einen Deal mit der amerikanischen Handelskommission FTC eingelassen hat, der bis Ende März Verbesserungen bei In-App Purchases vorsieht. Konkret soll ein besseret Schutz der Käufer gewährleistet werden. Dies wird offenbar dadurch erzielt, dass künftig bei jeder innerhalb einer App abgeschlossenen Kaufhandlung die Apple ID eingegeben werden muss. Aktuell erfolgt diese Abfrage lediglich einmal alle 15 Minuten. Unklar ist jedoch, ob man die neue Regelung in den Einstellungen wird deaktivieren können. Dies dann natürlich nur unter der Berücksichtigung der Kindersicherung. Zeitlich würde sich eine entsprechende Umsetzung zusammen mit der Veröffentlichung von iOS 7.1 anbieten. In der bisherigen Betaversionen war hiervon jedoch noch nichts zu bemerken.

Als Apple mit iOS 3.0 im Jahr 2009 In-App Purchases einführte, hatte man damit sicherlich Positives im Sinn. Entwicklern sollte damit mehr Flexibilität hinsichtlich der Bezahlmöglichkeiten innerhalb ihrer Apps an die Hand gegeben werden. Und natürlich sollte die neue Option auch die üblichen 30% des Umsatzes in Cupertinos Kassen spülen. Heute weiß man allerdings, dass man vielleicht ein wenig blauäugig an die Sache heran gegangen ist. Zu verlockend ist es vor allem für Kinder, den eigenen Spielfortschritt durch das Kaufen von Schlumpfbeeren mit echtem Geld schneller voran zu treiben. Das Problem dabei war, dass Apple ursprünglich keine Möglichkeit vorgesehen hatte, Eltern hierauf hinzuweisen oder dies zu unterbinden. Über die vergangenen iOS-Updates hat man hier unter anderem mit Einstellmöglichkeiten in der Kindersicherung nachgebessert und weist inzwischen auch im AppStore auf mögliche In-App Käufe in Apps hin. Dennoch war das Kind bereits in den Brunnen gefallen und manche Eltern um mehrere Tausend Dollar ärmer.

Mir persönlich widerstrebt das Konzept der In-App Purchases in den meisten Fällen (vor allem in Spielen) nach wie vor, auch wenn es sicherlich verschiedene Szenarien gibt, wo sie sich absolut sinnvoll einsetzen lassen. Schlumpfbeeren und sonstige Kinderköder gehören hier jedoch definitiv nicht dazu und haben in den USA zu einer sammelklage geführt, in der nun ein Urteil gegen Apple gesprochen wurde. Dabei wurde Apple von der amerikanischen Aufsichtsbehörde FTC (Federal Trade Commission) zu einer Strafzahlung von 32,5 Millionen US-Dollar verdonnert. Diese Summe könnte sich unter anderem noch erhöhen, sollten weitere Kläger auftauchen. Bereits im vergangenen Jahr hatte Apple eine mehr oder weniger freiwillige Rückerstattungskampagne gestartet, weswegen sich Apple CEO Tim Cook ein wenig enttäuscht vom Urteil der FTC zeigt. Seine (mal wieder geleakte) interne Rundmail an die Apple-Mitarbeiter könnt ihr im Anschluss nachlesen. (via MacRumors)
Weiterlesen...

Immer mehr (vor allem Spiele-)Anbieter setzen im AppStore auf das sogenannte Freemium-Modell, bei dem die Grundversion der App kostenlos angeboten, man aber anschließend per In-App Purchase innerhalb der App dann doch zur Kasse gebeten wird. Ich persönlich mag diesen Ansatz überhaupt nicht, zumal viele der Titel aus dieser Riege nur bedingt Spaß machen oder überhaupt spielbar sind. Psychologisch kann ich den Ansatz der Entwickler durchaus verstehen. Ein kostenloser Titel landet eben schneller auf den Geräten der User, als einer der von vorne herein fünf Euro kostet. In den meisten Fällen kommen dem Nutzer diese Titel aber im Endeffekt über die In-App Purchases jedoch teurer zu stehen. Und dies ist umgekehrt dann natürlich wieder eine gute Sache für die Entwickler. Allerdings haben In-App Purchases auch schon zu diversen rechtlichen Auseinandersetzungen geführt, wenn Kinder mehrer tausend Euro oder Dollar auf diesem Wege verbraten haben. Wie die schwarzen Schafe unter den Spiele-Entwicklern dies ausnutzen, kann man sehr schön in dem unten eingebetteten Video zum Negativ-Beispiel "Super Monster Bros." sehen.

Nachdem Apple bereits vor einigen Wochen deutlichere Hinweise innerhalb der AppStores angebracht hat, dass die gerade angezeigte App In-App Purchases verwendet, zündete man nun die nächste Stufe. Auf einer eigens eingerichteten Sonderseite in der Rubrik "Alles auf einen Klick" liefert Apple im AppStore auf dem iPad nun "Weitere Infos zu In-App-Käufen". Dabei geht man vor allem noch einmal auf die theoretischen Grundlagen und die Funktionsweise von In-App Purchases ein und liefert abschließend noch einen Hinweis auf die Kindersicherung von iOS, in der festgelegt werden kann, ob Kinder In-App Purchases tätigen dürfen oder nicht. Zwar ist die Sonderseite durchaus ein wenig versteckt, hat man sie aber einmal gefunden, sollten sich Eltern definitiv damit auseinandersetzen, um zu verhindern, dass sie die Kinder durch Lockangebote wie in dem folgenden, bereits angekündigten Beispiel in den Ruin treiben.

YouTube Direktlink

Der Hack von Apples In-App Purchases hat in den vergangenen Tagen für viel Gesprächsstoff gesorgt. Am Wochenende hat Apple nun auch offiziell reagiert und seine Entwickler per E-Mail auf die Problematik hingewiesen. Im selben Atemzug verwies man zudem auf eine Rehe von (auch öffentlich zugänglichen) Best-Practices, mit denen sich die Probleme kurzfristig beheben lassen. Für iOS 6 hat Apple dann eine komplette Behebung des Problems angekündigt: "iOS 6 will address this vulnerability. If your app follows the best practices described below then it is not affected by this attack." Interessant ist in diesem Zusammenhang, dass Apple den Entwicklern für die kurzfristige Behebung des Problems sogar erstmals offiziell Zugriff auf private APIs gewährt. In der Vergangenheit hatte diese unauthorisierte Verwendung stets dazu geführt, dass entsprechenden Apps der Zugang zum AppStore verwehrt wurde. Insofern scheint sich Apple der Tragweite des Problems bewusst und will die Entwickler nicht bis zur Veröffentlichung von iOS 6 im Herbst angreifbar im Regen stehen lassen.

Vergangene Woche waren Berichte zu einem AppStore-Hack aufgekommen, mit dem es durch gefälschte Zertifikate möglich war, In-App Purchases aus Apps heraus zu fälschen und so dafür nicht bezahlen zu müssen. Während Apple sich kurz darauf gegenüber The Loop dahingehend äußerte, dass man gegen solche Machenschaften vorgehen werde, berichtet The Next Web nun über erste konkrete Maßnahmen seitens Apple. So lässt sich das seinerzeit veröffentlichte Demonstrations-Video des Hacks inzwischen mit dem Hinweis auf eine Copyright-Verletzung nicht mehr über YouTube aufrufen. Zudem ließ Apple die IP-Adresse des Servers blockieren, der von dem russischen Hacker für die Fälschung genutzt wurde. Hinzu kam eine Anfrage, den kompletten Server des Hackers vom Netz zu nehmen, und auch PayPal holte man ins Boot, um die Spendenzahlungen an den Hacker für die Bereitstellung des Hacks zu unterbinden. Nichts desto trotz will der besagte Hacker am Ball bleiben und arbeitet bereits daran, die Steine die Apple ihm in den Weg geworfen hat zum umschiffen. Aktuell ist der Hack jedenfalls noch voll und ganz funktionsfähig.

Ich persönlich distanziere mich nach wie vor von solchen Machenschaften und bleibe bei meinen in der vergangenen Woche zu dem Thema getätigten Aussagen. Es ist in jedem Fall schön zu sehen, dass Apple hier nicht untätig bleibt und gegen die Versuche das In-App-System, so wenig es mir auch gefällt, auszuhebeln vorgeht.

Zugegeben, ich bin kein großer Freund der In-App Purchases. Und das sage ich, obwohl das Spendesystem innerhalb meiner App darauf basiert. Die Verwendung dieser Funktion hat allerdings dazu geführt, dass viele Entwickler nur noch "halbe" Apps kostenlos oder günstig in den AppStore stellen und man dann innerhalb der App weiter zur Kasse gebeten wird. Statistiken zeigen inzwischen, dass die User dabei deutlich mehr ausgeben, als sie normalerweise für den Kauf einer App bereit wären zu zahlen. Aus wirtschaftlicher Sicht also ein absolut nachvollziehbarer Schritt mancher Entwickler. Beliebt macht man sich damit aber oft nicht. Der Meinung sind wohl auch ein paar russische Hacker, die nun einen Weg gefunden haben, der App vorzugaukeln, dass ein In-App Purchases erfolgreich durchgeführt wurde, in Wahrheit aber gar nicht gezahlt wurde. Dies ist auf jedem iOS-Gerät vollkommen ohne Jailbreak möglich. Man installiert dazu lediglich zwei von den Hackern zum Download angebotene iPhone-Zertifikate, die die DNS-Einstellungen auf dem Gerät ändern und über einen modifizierten HTTP-Header dem Gerät anschließend den erfolgreichen In-App Kauf vortäuschen. In der Informatik spricht man dabei von einem "Man-in-the-Middle" Angriff.

An dieser Stelle wird sich der eine oder andere Leser evtl. den Download-Link zu den beiden angesprochenen Zertifikaten und eine Anleitung zur Vorgehensweise wünschen. Auf diesen verzichte ich an dieser Stelle (anders als diverse andere Apple-Seiten) jedoch ganz bewusst und spreche stattdessen eine deutliche Warnung vor der angesprochenen Vorgehensweise aus. Denn während man auf diese Weise vielleicht den einen oder anderen Euro sparen kann, könnte man an anderer Stelle deutlich teurer bezahlen - nämlich mit seinen Daten. So werden im Hintergrund Daten von dem Gerät auf die russischen Server übertragen. Welche genau ist dabei unklar. Fakt ist aber, dass ich niemandem irgendwelche Daten auf diese Weise geben möchte.

Darüber hinaus sollte einem bewusst sein, dass man damit nichts weiter als Diebstahl betreibt. Die Preise im AppStore sind ohnehin bereits soweit im Keller, dass nur die wenigsten kleinen Entwickler davon leben können. Schadet man ihnen auch noch auf diese Weise, ist damit auf lange Sicht niemandem geholfen. Daher also der Aufruf, die Finger davon zu lassen. Zum Wohle der eigenen Daten und zum Wohle des AppStore.

Von Apple gibt es aktuell keine Stellungnahme. Allerdings merkt Matt Panzarino korrekt an, dass entsprechend abgesicherte In-App Purchases deutlich schwieriger zu hacken sind. Apple liefert seinen Entwicklern hierfür sogar eine entsprechende Dokumentation.

UPDATE: Inzwischen hat sich Apple gegenüber The Loop zu dem Thema mit den folgenden Worten geäußert: "The security of the App Store is incredibly important to us and the developer community,” Apple representative Natalie Harrison, told The Loop. “We take reports of fraudulent activity very seriously and we are investigating."

Ich habe mich bislang stets als Befürworter des AppStore-Zulassungsprozesses geoutet. Und es macht auch durchaus Sinn für mich, dass Apple ein Auge auf das hat, was die Entwickler auf die iOS-Geräte bringen wollen. Die positiven Auswirkungen auf die Sicherheit und den Virenschutz, speziell auch im Hinblick auf andere, weniger überwachte Plattformen ist unübersehbar. Teilweise nimmt die Überwachung allerdings auch Züge an, die aus meiner Sicht nicht nur bedenklich sind, sondern ebenso erschreckend wie katastrophal. Meist bezieht sich dies auf den Abschnitt 11.13 des Developer-Agreements. Dieser besagt nämlich, dass bei Apps, die einen Abo-Dienst gegen Bezahlung anbieten, diese Bezahlung über Apple abwickeln müssen, wodurch sich für das Unternehmen aus Cupertino wiederum eine Umsatzbeteiligung durch den 70/30-Split ergibt. Ausgewirkt hatte sich dies bereits unter großem Getöse bei über den AppStore angebotenen Zeitschriften. Apps in denen Abos angeboten werden, deren Bezahlung nicht über Apple abgewickelt werden kann, flogen kurzerhand aus dem Store. Apple lockerte daraufhin die Bestimmungen dahingehend, dass die AppStore-Abwicklung zumindest alternativ angeboten werden muss. Aktuell gibt es allerdings wieder eine Serie von App-Ablehnungen, die einen einfach nur mit dem Kopf schütteln lässt. Weiterlesen...