Mint által jegyzett 9to 5Mac , egy orosz hacker kifejlesztett egy viszonylag egyszerű módszert, amely lehetővé teszi a felhasználók számára, hogy megkerüljék az Apple In App Purchase mechanizmusát számos iOS-alkalmazásban, így a felhasználók ingyenesen juthatnak hozzá a tartalomhoz.
A feltört eszközökön látható Alternate In App Vásárlás megerősítő gomb
A jailbreaket nem igénylő módszer egy tanúsítványpár telepítését jelenti a felhasználó eszközén, majd egy egyéni DNS-bejegyzést. A felhasználók ezután a szokásos módon végrehajthatnak az alkalmazáson belüli vásárlásokat, és automatikusan átirányítják őket a feltört rendszeren keresztül.
Eltekintve attól a nyilvánvaló hatástól, hogy a hack tartalmat lopnak el a fejlesztőktől, a módszer kockázatokat is jelent a feltörést használók számára, mivel a saját információik egy része a vásárlási folyamat során továbbítódik a hacker szervereire. Mindkét okból kifolyólag a felhasználóknak erősen ajánlott, hogy ne alkalmazzák ezt a módszert.
hogyan változtasd meg a céljaidat az Apple Watchon
A hackert már kilakoltatták eredeti gazdájától, és állítólag egy újba költözött, de az oldal jelenleg nem működik. Nem világos, hogy pusztán a nagy forgalom miatt állt-e le, vagy más lépések történtek a tevékenységének akadályozására.
A fejlesztők megakadályozhatják, hogy a hack működjön az alkalmazásaikkal, ha végrehajtják az In App Purchase nyugták érvényesítését, amit sok fejlesztő nem vett fel az alkalmazásaiba.
Frissítés : A következő web közelebbről megnézi Alekszej Borodin által kidolgozott módszerrel, ami valójában nem akadályozható meg pusztán a nyugtaellenőrzéssel.
A Borodin szolgáltatásához csupán egyetlen adományozott nyugta szükséges, amelyet aztán bárki vásárlási kérelmének hitelesítésére használhat. A nyugták közül sokat maga Borodin adományozott, aki több száz dollárt költött alkalmazáson belüli vásárlásokra, tesztelésére és nyugták generálására. [...]
Mivel a bypass emulálja az App Store nyugtaellenőrző szerverét, az alkalmazás hivatalos kommunikációként kezeli, pont.
hogyan állíthatom be az időzítőt az iphone kamerámon
A probléma megoldásához végső soron változtatásokra lesz szükség az Apple részéről, ami továbbfejlesztheti az alkalmazáson belüli vásárlásokhoz használt API-t, hogy egyedileg aláírt nyugtákat biztosítson, amelyek nem sokszorosíthatók tömegesen, mint a Borodin szolgáltatása esetén.
A következő web interjút készített Borodinnal is, aki megjegyezte, hogy a baj elkerülése érdekében átadta az oldal üzemeltetését egy harmadik félnek, és törölni fog minden olyan információt, amelyet az üzemeltetés során szerzett. Borodin szerint több mint 30 000 alkalmazáson belüli tranzakciót bonyolítottak le a szolgáltatásán keresztül, és mindössze 6,78 dollárnyi PayPal-adományt kapott, amellyel költségeit fedezte.
2. frissítés : Macworld Borodinnal is elbeszélgetett , aki megjegyezte, hogy valóban láthatja a felhasználók App Store-fiókjának neveit és jelszavait, mivel azokat az alkalmazáson belüli vásárlási folyamat részeként egyértelmű szöveggel továbbítják.
Látom az Apple ID-t és a jelszót azoknál a fiókoknál, amelyek megpróbálják feltörni – mondta Borodin a Macworldnek. De nem a hitelkártya adatait. Borodin azt mondta, megdöbbentette, hogy a jelszavakat egyszerű szöveggel adták át, és nem titkosították.
[Marco] Tabini fejlesztő szerint azonban az Apple azt feltételezi, hogy a saját szerverével beszél érvényes biztonsági tanúsítvánnyal. De ez egyértelműen hiba volt – ez teljes mértékben az Apple hibája – tette hozzá Tabini.
3. frissítés : Az Apple kiadott a rövid nyilatkozatot A hurok elismerve, hogy tisztában van a kérdéssel, és kivizsgálja a kérdést.
Az App Store biztonsága hihetetlenül fontos számunkra és a fejlesztői közösség számára, mondta Natalie Harrison a The Loopnak. Nagyon komolyan vesszük a csaló tevékenységekkel kapcsolatos bejelentéseket, és kivizsgáljuk.
Népszerű Bejegyzések