Nur mit "Scancardium"
Geknackte Guthaben-Codes: So scannt das iPhone iTunes-Karten
Wenn es um Geschenke für Freunde und Verwandte geht, sollten iTunes Guthaben-Karten ganz hinten auf eurer Liste stehen – mit einem Hauch an Kreativität lässt sich hier sicher ein besseres Präsent finden. Soll es jedoch unbedingt ein Guthaben-Code sein, dann wäre es natürlich schön wenn sich dieser, nett verpackt, vielleicht sogar selbst ausdrucken lassen könnte.
Hier gibt es jedoch ein Problem: Versucht man selbst gedruckte iTunes-Codes mit Kamera des iPhones bzw. über die iSight-Kamera am Mac einzulesen – eine Option die seit iOS 7 zur Verfügung steht – ignorieren Apples Geräte selbst ausgedruckte iTunes Codes. Ein Umstand, der auch der Entwickler-Community schon aufgefallen ist. Selbst erstellte Karten mit Promo-Codes für die eigenen App Store-Anwendungen lassen sich nicht über die iPhone-Kamera einscannen sondern müssen grundsätzlich von Hand eingegeben werden. Warum ist das so?
Eine Frage, die sich der Software-Anbieter Equinux jetzt gestellt hat und in dem lesenswerten Blogeintrag „Cracking the code behind Apple’s App Store promo card design“ jetzt beantwortet.
Um es kurz zu machen: Apple setzt beim Drucken der offiziellen Guthabenkarten auf eine „geheime“ Schriftart.
Dies ist den Equinux nach zahlreichen Testdurchläufen aufgefallen. Doch damit nicht genug: Zwar lässt sich der Font „Scancardium“ auf einem Mac aus dem CoreRecognition.framework im Verzeichnis /System/Library/PrivateFrameworks/ extrahieren, doch auch wenn ihr die Schriftart zum Drucken eurer iTunes-Codes nutzt, ignoriert das iPhone die vor die Kamera-Linse gehaltenen Zahlen noch.
Neben der richtigen Schriftart müssen auch bestimmte Größenverhältnisse beachtet werden. Nur wenn Schriftgröße, die Größe des umschließenden Rahmens und die Abstände zum Rand Apples geheimer Formel folgen, akzeptiert das iPhone entsprechende Codes:
It turns out that you need more than just the right font. The code recognizer checks the size of the font relative to the surrounding box. Here are the relative sizes, with Factor “1” being the height of the surrounding box: Surrounding box, with proportions of the box (ratio 3 width : 1 height). Font height (factor 0.34). The thickness of the box border (factor 0.045).
Um euch den Bau eigener Code-Karten etwas einfacher zu machen, haben die Equinux-Jungs hier sowohl eine Sketch- als auch eine Photoshop-Vorlage zum Download bereitgestellt. Ein spannendes Reverse-Engineering-Projekt.
Wer hat sich nicht schon darüber gewundert, dass auf Kassenbons aufgedruckte Guthabencodes nicht gescannt werden können… es ist also gar nicht die mangelnde Güte der iPhone-Kamera. ;)
Wäre es nicht einfacher die Karte zu scannen und den Code Bereich als Bild in die selbstgestaltete Karte einzufügen?
Weil man kann sich ja nicht vertippen, muss sich nicht um Format und Schriftart kümmern…
Oder will dann das iPhone auch nicht scannen
Einfacher wäre es in diesem Fall, das die Kasse einen QR Code auf den Kassenzettel druckt. Die heutigen Kassensysteme sind bestimmt in der Lage dies umzusetzen.
Ok, wenn ich es richtig verstehe, nutzt Apple ein ausgefeiltes System um die Strichcodes von iTunes-Guthabenkarten zu schützen. Jetzt hat jemand herausgefunden, wie man das umgehen kann und dadurch voraussichtlich auch den Weg geöffnet, wie man iTunes Karten fälschen kann.
Das muss natürlich gleich Herauslösung werden, nebst Anleitung, damit auch Leute, die weniger versiert sind, aber ausreichend kriminelle Energie besitzen, mal einfacher ausprobieren können, sich Karten zu fälschen um damit Geld zu machen.
Konsequenz könnte zB sein, dass Apple neue Sicherheitsschichten einbaut und die ganze Sache mit Guthabenkarten verkompliziert oder im schlimmsten Fall Guthabenkarten ganz abschafft.
Danke dafür!
Ich glaube du hast den Text (sofern du ihn überhaupt gelesen hast) komplett falsch verstanden….
Headline reader?
Menschen gibt’s…
Nein, hat du nicht richtig verstanden.
Genau darum gehts in dem Artikel…. nicht!
K-H hat recht. Man bräuchte keine Schlösser, gäbe es keine Kriminellen. Und „nice to know“ ist das dann auch nur für Leute, die sonst nichts im Leben haben. Wer kommt schon auf die Idee, die Alarmanlage der Nachbarn bis aufs Detail für jeden zugänglich aufzuschlüsseln.
Seid ihr alle ein wenig schwer von Begriff?
Es geht hier bloß darum wie der Code von der Kamera erkannt wird. Dazu braucht man einen verifizierten Code von Apple und die können den immer noch nur intern „erstellen“. Es geht lediglich darum Kopien eines legal gekauften Codes per Kamera abzuscannen und nicht sich selbst irgendwie Guthabencodes zu generieren.
Wer gibt mir die Zeit zurück, die ich für das Lesen deines Beitrags investiert habe? Wenn du schon Non-Sense schreibst, halt dich doch bitte in der Textlänge etwas zurück.
Nur wenn du es richtig verstehst. Hast du aber nicht! Gute Besserung.
Quatsch. Es geht hier lediglich darum, die Erkennung durch die Kamera zu triggern. Wie die Nummer erstellt wird, weiß immer noch keiner.
Falsch. Fertig. ;)
Du bist dir schon im Klaren, dass die eigentliche Hürde Guthabenkarten zu fälschen der Code an sich ist? … und nicht die Eingabemethode. Also cool bleiben. Die hier aufgeführte Erkenntnis ändert erstmal gar nichts.
Oh weh…
Jetzt lies dir doch nochmal bitte langsam den kompletten Artikel durch!
Es geht darum einen erworbenen Code selbst gestalterisch auf eigene Art aus zu drucken. Nicht darum den Code zu knacken um sich Guthaben zu erschleichen.
Warum lest ihr immer nur die Hälfte?
@k-H… lass dich von den Trollen nicht irritieren.
Auch ich denke, dass dies ein Schritt Richtung „gut gefälschter“ iTunes-Guthaben-Karte gehen kann. Je mehr etwas danach ausschaut als wäre es Original und sich auch genau so verhält, kann eine Gefahr werden.
Du hast nicht ganz unrecht.
Ich sehe zwar nicht, dass man sich selbst Guthaben produzieren kann.
Vielmehr, und das ich sehr Wahrscheinlich, dass gefälschte Karten vertickt werden, die täuschend Echt aussehen.
Letzten Endes ist der Code alleine überhaupt nichts Wert, ohne dass er durch eine Kasse registriert wurde.
Sonst könnte man ja auch einfach so eine Karte klauen… ;)
Der Code ist immer noch sicher. Man kann ihn nun nur ausdrücken und scannen, wenn man ihn denn hat.
Finde die Überschrift verwirrend
Funktioniert es wenn man den originalen Code einscannt und dann z.b weiterverarbeitet in etwa bei einem selbst gestalteten Gutschein oder so ?
Natürlich. Durch den Scan des Codes änderst du nichts an den relationen. Sofern du es 1:1 ausdruckst. Sollte es gestreckt werden, wird es Probleme geben
Wie kann ich dann gute Geldscheine drucken?
Einen guten Drucker verwenden!
Alle Drucker haben eine Geldscheine Sperre, ebenso jeder Scanner.
Kannst ja mal Versuchen einen Schein mit1200 dpi zu scannen.
Alles schon gemacht und es funktioniert. Was nicht funktioniert ist ein Scan bzw. Kopie in Farbe.
Schwarz weiss interessiert den Kopierer kein Stück. Selbst das lässt sich vermutlich irgendwie umgehen, den Aufwand das zu prüfen habe ich mir dann aber doch nicht gemacht.
Geht alles glaube mir
Dafür gibt’s ne App.
deine EC karte in den Bankautomat schieben und die PIN eingeben … schon kommen unten die neu gedruckten Geldscheine raus ;-)
Ich habe mir im Urlaub ein Foto von der Karte per WhatsApp schicken lassen. An meine mir gegenübersitzenden Frau weitergeleitet und dann den Code eingescannt.
Bei aller Liebe, was für eine Information soll uns das liefern…??? Warum sollte das Einscannen einer gut fotografierten iTunes-Gutscheinkarte denn auch nicht funktionieren?! Ziemlich unspektakulär… und völlig normal. Nichts für ungut. ;)
Ist bei Home Kit das Gleiche, selbst Ausgedruckte Codes sind auch hier nicht Scanbar.
Also scheint die die Information nur bedingt zu stimmen, die die Jungs rausgefunden haben:
Voraussetzung eines potentiell möglichen Scans:
• richtiger Font
• Rahmen um diesen Code
• richtige Größe
Richtige Größe scheint nicht wichtig zu sein.
Gerade mal nach nem Foto gegooglet.
iOS Kamera erkennt zwar den Rahmen, aber offensichtlich nicht den Font.
Wenn Apple klug war/ ist, dann kommt sicher eine Fehlermeldung wenn man mehr als x Codes ausprobiert hat.
Ich finde es sehr gut dass diese Firma dies rausgefunden hat und es kostenlos zur Verfügung stellt für die die es brauchen.
Ein Schelm der Böses dabei denkt.
OK, schreib doch mal jemand ne Masterthesis zum Thema…. oh weia.