Som notert av 9to5Mac , har en russisk hacker utviklet en relativt enkel metode for å tillate brukere å omgå Apples In App Purchase-mekanisme på mange iOS-apper, slik at brukere kan få innholdet gratis.
Alternativ kjøpsbekreftelsesknapp i appen sett på hackede enheter
Metoden, som ikke krever jailbreaking, innebærer å installere et par sertifikater på brukerens enhet og deretter bruke en tilpasset DNS-oppføring. Brukere kan deretter utføre kjøp i appen som vanlig og automatisk bli omdirigert gjennom det hackede systemet.
Bortsett fra den åpenbare effekten at hacket innebærer tyveri av innhold fra utviklere, utgjør metoden også risiko for de som bruker hacket, ettersom noe av deres egen informasjon overføres til hackerens servere under kjøpsprosessen. Av begge disse grunnene anbefales brukere på det sterkeste ikke å følge metoden.
hva er bilde i bilde iphone
Hackeren har allerede blitt kastet ut fra sin opprinnelige vert og hadde angivelig flyttet til en ny, men siden er for øyeblikket nede. Det er uklart om den er nede bare på grunn av høy trafikk eller om det iverksettes andre tiltak for å hindre hans virksomhet.
Utviklere kan hindre hacket i å fungere med appene deres ved å implementere validering av kvitteringer for kjøp i apper, noe mange utviklere ikke har inkludert i appene sine.
Oppdater : Det neste nettet tar en nærmere titt på metoden utviklet av Alexey Borodin, som faktisk ikke kan forhindres bare ved å bruke kvitteringsvalidering.
Alt Borodins servicebehov er en enkelt donert kvittering, som den deretter kan bruke til å autentisere hvem som helsts kjøpsforespørsler. Mange av disse kvitteringene er donert av Borodin selv, som har brukt flere hundre dollar på kjøp i appen for å teste og generere kvitteringer. [...]
Fordi bypass-en emulerer kvitteringsverifiseringsserveren på App Store, behandler appen det som en offisiell kommunikasjon, punktum.
hvordan tvinge til å lukke apper på iphone 11
Å løse problemet vil til slutt kreve endringer fra Apple, noe som kan forbedre API-en som brukes for kjøp i apper for å sørge for unikt signerte kvitteringer som ikke kan dupliseres på massebasis som med Borodins tjeneste.
Det neste nettet intervjuet også Borodin, som bemerket at han har overført driften av nettstedet til en tredjepart for å unngå problemer og vil slette all informasjon han har fått fra driften av operasjonen. I følge Borodin ble over 30 000 transaksjoner i appen gjort gjennom tjenesten hans, og han fikk bare ,78 i PayPal-donasjoner for å hjelpe med kostnadene.
Oppdatering 2 : Macworld chattet også med Borodin , som bemerket at han faktisk kan se brukernes App Store-kontonavn og passord, ettersom de overføres i klartekst som en del av kjøpsprosessen i appen.
Jeg kan se Apple ID og passord for kontoer som prøver hacket, sa Borodin til Macworld. Men ikke kredittkortinformasjonen. Borodin sa at han var sjokkert over at passord ble sendt i ren tekst og ikke kryptert.
Ifølge [utvikler Marco] Tabini antar Apple imidlertid at de snakker med sin egen server med et gyldig sikkerhetssertifikat. Men det var helt klart en feil – dette er helt og holdent Apples feil, la Tabini til.
Oppdatering 3 : Apple har utstedt en kort uttalelse til The Loop erkjenner at den er klar over og undersøker problemet.
Sikkerheten til App Store er utrolig viktig for oss og utviklerfellesskapet, sa Natalie Harrison til The Loop. Vi tar rapporter om svindel svært alvorlig, og vi etterforsker saken.
Populære Innlegg