ROM Manager: Versehentliche DDOS-Attacke auf PayPal-Server

Frank Ritter
4

Die Wege der Informationstechnologie sind unergründlich und kuriose Nebeneffekte nie ganz auszuschließen. Jüngstes Beispiel: Der Download-Manager für Custom ROMs mit dem programmatischen Namen ROM Manager. Die App des bekannten Android-Hackers Koush hätte nach einer technischen Änderung bei PayPal beinahe deren Server im Sinne einer DDOS-Attacke vom Netz genommen.

ROM Manager: Versehentliche DDOS-Attacke auf PayPal-Server

Koush, nicht nur für den ROM Manager, sondern auch für das alternative Recovery-Modul ClockWorkMOD bekannt, hatte eine PayPal-API (externe Programmierschnittstelle) in seinen ROM Manager integriert. Über diesen können Nutzer des ROM Managers für die Entwicklung der App spenden. PayPal änderte vor einigen Wochen diese API, sodass ein Aufruf dieser API täglich auch eine Serveranfrage verursachte. Die PayPal-API wurde offensichtlich mit nicht allzuviel Hintergedanken programmiert, denn diese Serveranfragen kamen stets am Anfang jeder Stunde — und zwar über den gesamten Tag verteilt ausschließlich von Nutzern des ROM Managers.

Bei einem Telefonat von Koush mit einem alarmierten PayPal-Entwickler stellte sich heraus, dass die PayPal-API so umprogrammiert worden war, dass diese Anfrage immer zur gleichen Uhrzeit abgesetzt wurde. ROM Manager hat weltweit 2 Millionen Benutzer, aber über sämtliche Zeitzonen verteilt. Der Effekt war, dass stets am Anfang jeder Stunde 6.000 Anfragen gleichzeitig bei PayPal aufprallten. Was auf den offenbar einzigen für diese API zuständigen PayPal-Server, den mit einer DDOS-Attacke (Direct Denial of Service) vergleichbaren Effekt hatte, und das einmal pro Stunde.

Die PayPal-API hat lediglich den Zweck, einen Lizenzierungs-Status für die In-App-Bezahlung zu überprüfen. Mit einem solchen Effekt hätten die PayPal-Entwickler zweifelsohne rechnen müssen, als sie die die API änderten und den Serveraufruf einbauten. Von daher sind Koush und dem ROM Manager kein Vorwurf zu machen. Koush versprach den PayPal-Entwickler, ein Update seiner App herauszugeben, das die Last verringert. Allerdings werden Updates seiner App nicht bei allen Usern sofort, sondern manchmal erst nach einem Monat eingespielt.

Ein Chatprotokoll, in dem Koush von der Erlebnis erzählt, kann über pastebin eingesehen werden.

Neue Artikel von GIGA

GIGA Marktplatz