Tak jako poznamenal 9 až 5 Mac , ruský hacker vyvinul relativně jednoduchou metodu, která uživatelům umožňuje obejít mechanismus nákupu aplikací Apple v mnoha aplikacích pro iOS, což uživatelům umožňuje získat obsah zdarma.
Tlačítko potvrzení nákupu v aplikaci Alternate In App zobrazené na napadených zařízeních
Metoda, která nevyžaduje útěk z vězení, zahrnuje instalaci dvojice certifikátů na zařízení uživatele a následné použití vlastního záznamu DNS. Uživatelé pak mohou provádět nákupy v aplikaci jako obvykle a automaticky být přesměrováni přes napadený systém.
Kromě zjevného dopadu, že hack zahrnuje krádež obsahu od vývojářů, tato metoda také představuje riziko pro ty, kteří hack používají, protože některé jejich vlastní informace jsou přenášeny na hackerovy servery během nákupního procesu. Z obou těchto důvodů se uživatelům důrazně doporučuje, aby tuto metodu nepoužívali.
jak vymazat otevřené aplikace na iphone 11
Hacker již byl vystěhován ze svého původního hostitele a údajně se přestěhoval do nového, ale stránka je momentálně mimo provoz. Není jasné, zda je nefunkční jednoduše kvůli vysokému provozu, nebo jsou podnikány další kroky, které by jeho činnosti bránily.
Vývojáři mohou zabránit hackování v práci s jejich aplikacemi implementací ověřování účtenek In App Purchase, což mnoho vývojářů do svých aplikací nezahrnulo.
Aktualizace : Další web se podívá blíže u metody vyvinuté Alexejem Borodinem, které ve skutečnosti nelze zabránit pouhým použitím ověřování účtenek.
Vše, co Borodin potřebuje, je jediné darované potvrzení, které pak může použít k ověření požadavků na nákup kohokoli. Mnoho z těchto účtenek daroval sám Borodin, který utratil několik set dolarů za testování nákupů v aplikaci a generování účtenek. [...]
Protože bypass emuluje server pro ověřování účtenek v App Store, aplikace to považuje za oficiální komunikaci, tečka.
jak najít chybějící pouzdro na airpod
Řešení tohoto problému si nakonec vyžádá změny ze strany společnosti Apple, které by mohly vylepšit API používané pro nákupy v aplikaci tak, aby poskytovalo jedinečně podepsané účtenky, které by nebylo možné hromadně duplikovat jako u služby Borodin.
Další web také provedl rozhovor s Borodinem, který poznamenal, že provozování webu předal třetí straně, aby se vyhnul problémům, a smaže veškeré informace, které získal při provozování provozu. Podle Borodina bylo prostřednictvím jeho služby provedeno více než 30 000 transakcí v aplikaci a on vydělal pouze 6,78 $ v darech PayPal, aby pomohl s jeho náklady.
Aktualizace 2 : Macworld také mluvil s Borodinem , který poznamenal, že skutečně vidí jména a hesla uživatelů App Store, protože jsou přenášena v čistém textu jako součást procesu nákupu v aplikaci.
Vidím Apple ID a heslo pro účty, které se pokusily o hack, řekl Borodin Macworld. Ale ne informace o kreditní kartě. Borodin řekl, že byl šokován tím, že hesla byla předávána v prostém textu a nebyla zašifrována.
Podle [vývojáře Marca] Tabiniho však Apple předpokládá, že mluví se svým vlastním serverem s platným bezpečnostním certifikátem. Ale to byla zjevně chyba – je to zcela chyba společnosti Apple, dodal Tabini.
Aktualizace 3 : Apple vydal a krátké prohlášení k Smyčka uznává, že si je vědoma a vyšetřuje problém.
Zabezpečení App Store je pro nás a vývojářskou komunitu neuvěřitelně důležité, řekla The Loop Natalie Harrison. Hlášení o podvodných aktivitách bereme velmi vážně a vyšetřujeme je.
Populární Příspěvky