Flo's Weblog

Immer mehr (vor allem Spiele-)Anbieter setzen im AppStore auf das sogenannte Freemium-Modell, bei dem die Grundversion der App kostenlos angeboten, man aber anschließend per In-App Purchase innerhalb der App dann doch zur Kasse gebeten wird. Ich persönlich mag diesen Ansatz überhaupt nicht, zumal viele der Titel aus dieser Riege nur bedingt Spaß machen oder überhaupt spielbar sind. Psychologisch kann ich den Ansatz der Entwickler durchaus verstehen. Ein kostenloser Titel landet eben schneller auf den Geräten der User, als einer der von vorne herein fünf Euro kostet. In den meisten Fällen kommen dem Nutzer diese Titel aber im Endeffekt über die In-App Purchases jedoch teurer zu stehen. Und dies ist umgekehrt dann natürlich wieder eine gute Sache für die Entwickler. Allerdings haben In-App Purchases auch schon zu diversen rechtlichen Auseinandersetzungen geführt, wenn Kinder mehrer tausend Euro oder Dollar auf diesem Wege verbraten haben. Wie die schwarzen Schafe unter den Spiele-Entwicklern dies ausnutzen, kann man sehr schön in dem unten eingebetteten Video zum Negativ-Beispiel "Super Monster Bros." sehen.

Nachdem Apple bereits vor einigen Wochen deutlichere Hinweise innerhalb der AppStores angebracht hat, dass die gerade angezeigte App In-App Purchases verwendet, zündete man nun die nächste Stufe. Auf einer eigens eingerichteten Sonderseite in der Rubrik "Alles auf einen Klick" liefert Apple im AppStore auf dem iPad nun "Weitere Infos zu In-App-Käufen". Dabei geht man vor allem noch einmal auf die theoretischen Grundlagen und die Funktionsweise von In-App Purchases ein und liefert abschließend noch einen Hinweis auf die Kindersicherung von iOS, in der festgelegt werden kann, ob Kinder In-App Purchases tätigen dürfen oder nicht. Zwar ist die Sonderseite durchaus ein wenig versteckt, hat man sie aber einmal gefunden, sollten sich Eltern definitiv damit auseinandersetzen, um zu verhindern, dass sie die Kinder durch Lockangebote wie in dem folgenden, bereits angekündigten Beispiel in den Ruin treiben.

YouTube Direktlink

Der Hack von Apples In-App Purchases hat in den vergangenen Tagen für viel Gesprächsstoff gesorgt. Am Wochenende hat Apple nun auch offiziell reagiert und seine Entwickler per E-Mail auf die Problematik hingewiesen. Im selben Atemzug verwies man zudem auf eine Rehe von (auch öffentlich zugänglichen) Best-Practices, mit denen sich die Probleme kurzfristig beheben lassen. Für iOS 6 hat Apple dann eine komplette Behebung des Problems angekündigt: "iOS 6 will address this vulnerability. If your app follows the best practices described below then it is not affected by this attack." Interessant ist in diesem Zusammenhang, dass Apple den Entwicklern für die kurzfristige Behebung des Problems sogar erstmals offiziell Zugriff auf private APIs gewährt. In der Vergangenheit hatte diese unauthorisierte Verwendung stets dazu geführt, dass entsprechenden Apps der Zugang zum AppStore verwehrt wurde. Insofern scheint sich Apple der Tragweite des Problems bewusst und will die Entwickler nicht bis zur Veröffentlichung von iOS 6 im Herbst angreifbar im Regen stehen lassen.

Vergangene Woche waren Berichte zu einem AppStore-Hack aufgekommen, mit dem es durch gefälschte Zertifikate möglich war, In-App Purchases aus Apps heraus zu fälschen und so dafür nicht bezahlen zu müssen. Während Apple sich kurz darauf gegenüber The Loop dahingehend äußerte, dass man gegen solche Machenschaften vorgehen werde, berichtet The Next Web nun über erste konkrete Maßnahmen seitens Apple. So lässt sich das seinerzeit veröffentlichte Demonstrations-Video des Hacks inzwischen mit dem Hinweis auf eine Copyright-Verletzung nicht mehr über YouTube aufrufen. Zudem ließ Apple die IP-Adresse des Servers blockieren, der von dem russischen Hacker für die Fälschung genutzt wurde. Hinzu kam eine Anfrage, den kompletten Server des Hackers vom Netz zu nehmen, und auch PayPal holte man ins Boot, um die Spendenzahlungen an den Hacker für die Bereitstellung des Hacks zu unterbinden. Nichts desto trotz will der besagte Hacker am Ball bleiben und arbeitet bereits daran, die Steine die Apple ihm in den Weg geworfen hat zum umschiffen. Aktuell ist der Hack jedenfalls noch voll und ganz funktionsfähig.

Ich persönlich distanziere mich nach wie vor von solchen Machenschaften und bleibe bei meinen in der vergangenen Woche zu dem Thema getätigten Aussagen. Es ist in jedem Fall schön zu sehen, dass Apple hier nicht untätig bleibt und gegen die Versuche das In-App-System, so wenig es mir auch gefällt, auszuhebeln vorgeht.

Zugegeben, ich bin kein großer Freund der In-App Purchases. Und das sage ich, obwohl das Spendesystem innerhalb meiner App darauf basiert. Die Verwendung dieser Funktion hat allerdings dazu geführt, dass viele Entwickler nur noch "halbe" Apps kostenlos oder günstig in den AppStore stellen und man dann innerhalb der App weiter zur Kasse gebeten wird. Statistiken zeigen inzwischen, dass die User dabei deutlich mehr ausgeben, als sie normalerweise für den Kauf einer App bereit wären zu zahlen. Aus wirtschaftlicher Sicht also ein absolut nachvollziehbarer Schritt mancher Entwickler. Beliebt macht man sich damit aber oft nicht. Der Meinung sind wohl auch ein paar russische Hacker, die nun einen Weg gefunden haben, der App vorzugaukeln, dass ein In-App Purchases erfolgreich durchgeführt wurde, in Wahrheit aber gar nicht gezahlt wurde. Dies ist auf jedem iOS-Gerät vollkommen ohne Jailbreak möglich. Man installiert dazu lediglich zwei von den Hackern zum Download angebotene iPhone-Zertifikate, die die DNS-Einstellungen auf dem Gerät ändern und über einen modifizierten HTTP-Header dem Gerät anschließend den erfolgreichen In-App Kauf vortäuschen. In der Informatik spricht man dabei von einem "Man-in-the-Middle" Angriff.

An dieser Stelle wird sich der eine oder andere Leser evtl. den Download-Link zu den beiden angesprochenen Zertifikaten und eine Anleitung zur Vorgehensweise wünschen. Auf diesen verzichte ich an dieser Stelle (anders als diverse andere Apple-Seiten) jedoch ganz bewusst und spreche stattdessen eine deutliche Warnung vor der angesprochenen Vorgehensweise aus. Denn während man auf diese Weise vielleicht den einen oder anderen Euro sparen kann, könnte man an anderer Stelle deutlich teurer bezahlen - nämlich mit seinen Daten. So werden im Hintergrund Daten von dem Gerät auf die russischen Server übertragen. Welche genau ist dabei unklar. Fakt ist aber, dass ich niemandem irgendwelche Daten auf diese Weise geben möchte.

Darüber hinaus sollte einem bewusst sein, dass man damit nichts weiter als Diebstahl betreibt. Die Preise im AppStore sind ohnehin bereits soweit im Keller, dass nur die wenigsten kleinen Entwickler davon leben können. Schadet man ihnen auch noch auf diese Weise, ist damit auf lange Sicht niemandem geholfen. Daher also der Aufruf, die Finger davon zu lassen. Zum Wohle der eigenen Daten und zum Wohle des AppStore.

Von Apple gibt es aktuell keine Stellungnahme. Allerdings merkt Matt Panzarino korrekt an, dass entsprechend abgesicherte In-App Purchases deutlich schwieriger zu hacken sind. Apple liefert seinen Entwicklern hierfür sogar eine entsprechende Dokumentation.

UPDATE: Inzwischen hat sich Apple gegenüber The Loop zu dem Thema mit den folgenden Worten geäußert: "The security of the App Store is incredibly important to us and the developer community,” Apple representative Natalie Harrison, told The Loop. “We take reports of fraudulent activity very seriously and we are investigating."

Ich habe mich bislang stets als Befürworter des AppStore-Zulassungsprozesses geoutet. Und es macht auch durchaus Sinn für mich, dass Apple ein Auge auf das hat, was die Entwickler auf die iOS-Geräte bringen wollen. Die positiven Auswirkungen auf die Sicherheit und den Virenschutz, speziell auch im Hinblick auf andere, weniger überwachte Plattformen ist unübersehbar. Teilweise nimmt die Überwachung allerdings auch Züge an, die aus meiner Sicht nicht nur bedenklich sind, sondern ebenso erschreckend wie katastrophal. Meist bezieht sich dies auf den Abschnitt 11.13 des Developer-Agreements. Dieser besagt nämlich, dass bei Apps, die einen Abo-Dienst gegen Bezahlung anbieten, diese Bezahlung über Apple abwickeln müssen, wodurch sich für das Unternehmen aus Cupertino wiederum eine Umsatzbeteiligung durch den 70/30-Split ergibt. Ausgewirkt hatte sich dies bereits unter großem Getöse bei über den AppStore angebotenen Zeitschriften. Apps in denen Abos angeboten werden, deren Bezahlung nicht über Apple abgewickelt werden kann, flogen kurzerhand aus dem Store. Apple lockerte daraufhin die Bestimmungen dahingehend, dass die AppStore-Abwicklung zumindest alternativ angeboten werden muss. Aktuell gibt es allerdings wieder eine Serie von App-Ablehnungen, die einen einfach nur mit dem Kopf schütteln lässt. lesen Sie mehr

Am Freitag hatte ich bereits im Einleitungstext zu den AppStore Perlen auf die aktuellen rechtlichen Probleme einiger Entwickler mit den Patentrechte-Inhabern der In-App Purchase Technologie hingewiesen. Konkret geht es darum, dass die Inhaber, eine Firma namens Lodsys, zwar anerkennt das Apple eine rechtmäßige Lizenz zur Nutzung von In-App Purchase besitzt, nicht jedoch die einzelnen Entwickler. Daraufhin hatte die Electronic Frontier Foundation (EFF) Apple dazu aufgefordert, die Entwickler im Rechtstreit mit Lodsys zu unterstützen. Heute nun hat Apple offiziell und vor allem auch rechtzeitig vor der WWDC auf die Forderungen reagiert. Dabei führt Apples Chef-Jurist Bruce Sewell aus, dass Apple’s Lizenzabkommen mit Lodsys auch für die Entwickler im iOS Developer Program gelte. Apple selbst würde die entsprechenden Lizenzgebühren an Lodsys auch im Namen der Entwickler zahlen. Da Apple der Lizenznehmer und die Technologie seinen Entwicklern zur Verfügung stellt, könne Lodsys keine weiteren Forderungen an diese stellen. Von Lodsys fehlt zu dem Vorstoß von Apple bislang noch jede Reaktion. Durch das Einschreiten von Apple dürften die betroffenen Entwickler nun aber zumindest ein bisschen beruhigter sein, was einige auch bereits in diversen Tweets zum Ausdruck bringen. Im Anschluss der Wortlaut des Apple-Schreibens an Lodsys via MacWorld. lesen Sie mehr

Grundsätzlich stehe ich Apple ja durchaus positiv gegenüber, was mir hin und wieder auch schonmal Kritik eingebracht hat. Heute aber muss ich dann doch einmal etwas kritischer über Apples Vorgehen im AppStore berichten. Bereits vor einigen Tagen kamen Berichte auf, wonach Apple verschiedenen Anbietern von In-App-Verkäufen, die an Apples eigener Schnittstelle vorbei geschehen mitgeteilt habe, dass dies in Zukunft nicht mehr möglich sei. Nun scheint man in Cupertino Ernst zu machen und hat die ersten entsprechenden Apps aus dem AppStore entfernt. Prominentester Vertreter ist dabei wohl die "Sony Reader"-App. Hierbei handelt es sich um einen E-Book Reader nach dem Schema von iBooks über den man Inhalte aus Sonys Reader Store erwerben und lesen konnte. Der Kauf ging dabei jedoch an Apples In-App Purchase vorbei und vermied dadurch die 70/30-Teilung der erzielten Umsätze. Ein ähnliches Muster verfolgen übrigens auch die Kindle-App von Amazon und Nook von Barnes & Noble, die zwar noch im AppStore verfügbar, aber ebenfalls Kandidaten sind, demnächst entfernt zu werden. Ich persönlich stehe dieser Vorgehensweise äußerst skeptisch gegenüber. Das iOS ist ohnehin schon ein extrem geschlossenes System. Würde man nun auch noch das hauseigene In-App Purchase zur Pflicht machen, wird dies wohl entweder dazu führen, dass sich Anbieter wie Sony und Amazon aus dem AppStore zurückziehen oder drastisch ihre Preise erhöhen, um den 70/30-Split aufzufangen. In beiden Fällen wäre der Anwender der Leidtragende, was bei aller Profitorientierung sicher auch nicht in Apples Interesse sein kann. Abzuwarten bleibt in diesem Zusammenhang sicher auch die Auswirkung des wohl geplanten neuen Abo-Systems für Buch- und Zeitschriften-Inhalte im AppStore. Bis zu dessen Bekanntgabe (eventuell beim morgigen Event zu "The Daily") bleibt auf jeden Fall ein fader Beigeschmack.

UPDATE: Inzwischen hat Apple auf die Kritik aus dem Web reagiert (via The Loop). Man habe keine Richtlinien geändert, man setze sie nun vielmehr konsequenter um. Richtig, ändert aber natürlich grundsätzlich nichts an der Sache. (mit Dank an alle Tippgeber!)

Seit der vergangenen Nacht ist mit dem Update auf Version 1.3.0 des MobileNavigators von Navigon die erste App verfügbar, bei der sich viele Benutzer erstmals mit dem Thema In-App Purchase auseinander setzen werden. Hiermit kann nun nämlich das neue "Live Traffic" Feature für eine einmalig zu zahlende Gebühr direkt aus der App heraus aktiviert werden. Aus diesem gegebenen Anlass seien einmal ein paar Einzelheiten zum Thema In-App Purchase  erklärt. In-App Purchase wurde mit iPhone OS 3.0 eingeführt und erlaubt es den Entwicklern, Features und Erweiterungen direkt aus der App heraus zu verkaufen. Abgerechnet wird dies dann alles wie gehabt über den aktuell auf dem iPhone konfigurierten iTunes Account. Was aber geschieht nun, wenn man im Haushalt zwei Geräte besitzt, die mit ein und demselben Account konfiguriert sind und aus der selben iTunes-Mediathek mit Apps bestückt werden? Nun, in diesem Fall ist der In-App Kauf auch auf beiden Geräten verfügbar und muss nur einmal bezahlt werden. Kauft man die Funktion per In-App Purchase auf einem Gerät, kann sie auf dem zweiten Gerät (wenn hier der selbe Account konfiguriert ist) kostenlos geladen werden. Die Vorgehensweise ist dann genau so, wie wenn man eine (eigenständige) App ein zweites Mal kauft. Es kommt ein Hinweis, dass man die App bereits erworben hätte und die Frage, ob man sie kostenlos noch einmal laden möchte. Bejaht man dies, wird die App erneut herunter geladen, ohne das hierfür der Kaufpreis ein weiteres Mal in Rechnung gestellt wird. Der AppStore kontrolliert also lediglich, ob die App mit dem aktuellen Account schon einmal erworben wurde. Genauso verhält es sich auch bei den In-App Käufen. Hat man also auf einem Gerät die Funktion hinzugekauft, wird man hierauf auf dem zweiten Gerät hingewiesen und kann dann auch hier die Funktion hinzu erwerben ohne das diese ein zweites Mal berechnet wird.