Som noteret af 9to5Mac , har en russisk hacker udviklet en relativt simpel metode til at tillade brugere at omgå Apples In App Purchase-mekanisme på mange iOS-apps, hvilket giver brugerne mulighed for at få indholdet gratis.
Alternativ i app-købsbekræftelsesknap set på hackede enheder
Metoden, som ikke kræver jailbreaking, involverer at installere et par certifikater på brugerens enhed og derefter bruge en brugerdefineret DNS-indgang. Brugere kan derefter udføre køb i appen som normalt og automatisk blive omdirigeret gennem det hackede system.
Udover den åbenlyse indvirkning, at hacket involverer tyveri af indhold fra udviklere, udgør metoden også risici for dem, der bruger hacket, da nogle af deres egne informationer overføres til hackerens servere under købsprocessen. Af begge disse grunde frarådes brugere på det kraftigste ikke at følge metoden.
iphone 11 vs iphone 11 pro størrelse
Hackeren er allerede blevet smidt ud af sin oprindelige vært og var angiveligt flyttet til en ny, men siden er i øjeblikket nede. Det er uklart, om den er nede blot på grund af høj trafik, eller om der bliver taget andre skridt til at hindre hans aktiviteter.
Udviklere kan forhindre hacket i at arbejde med deres apps ved at implementere validering af In App Purchase-kvitteringer, noget mange udviklere ikke har inkluderet i deres apps.
Opdatering : Det næste web kigger nærmere på metoden udviklet af Alexey Borodin, som faktisk ikke kan forhindres blot ved at anvende kvitteringsvalidering.
Alt Borodins servicebehov er en enkelt doneret kvittering, som den derefter kan bruge til at autentificere enhvers købsanmodninger. Mange af disse kvitteringer er blevet doneret af Borodin selv, som har brugt flere hundrede dollars på at teste og generere kvitteringer for køb i appen. [...]
Fordi bypass'en emulerer kvitteringsbekræftelsesserveren i App Store, behandler appen det som en officiel kommunikation, punktum.
hvilken størrelse ipad skal jeg købe
Løsning af problemet vil i sidste ende kræve ændringer fra Apple, som kan forbedre API'en, der bruges til køb i appen, for at sørge for unikt signerede kvitteringer, der ikke kan duplikeres på massebasis som med Borodins service.
Det næste web også interviewet Borodin, som bemærkede, at han har overdraget driften af siden til en tredjepart for at undgå problemer og vil slette enhver information, han har fået fra driften af operationen. Ifølge Borodin blev over 30.000 transaktioner i appen foretaget gennem hans tjeneste, og han indtjente kun ,78 i PayPal-donationer for at hjælpe med sine omkostninger.
Opdatering 2 : Macworld også chattede med Borodin , som bemærkede, at han faktisk kan se brugernes App Store-kontonavne og adgangskoder, da de transmitteres i klartekst som en del af In App Purchase-processen.
Jeg kan se Apple-id'et og adgangskoden for konti, der prøver hacket, fortalte Borodin til Macworld. Men ikke kreditkortoplysningerne. Borodin sagde, at han var chokeret over, at adgangskoder blev sendt i almindelig tekst og ikke krypteret.
Ifølge [udvikler Marco] Tabini antager Apple dog, at det taler med sin egen server med et gyldigt sikkerhedscertifikat. Men det var helt klart en fejl - dette er helt Apples skyld, tilføjede Tabini.
Opdatering 3 : Apple har udstedt en kort redegørelse til Løkken anerkender, at den er opmærksom på og undersøger problemet.
Sikkerheden i App Store er utrolig vigtig for os og udviklerfællesskabet, fortalte Natalie Harrison til The Loop. Vi tager rapporter om svigagtig aktivitet meget alvorligt, og vi undersøger sagen.
Populære Indlæg