Kuten huomautti 9-5Mac , venäläinen hakkeri on kehittänyt suhteellisen yksinkertaisen menetelmän, jonka avulla käyttäjät voivat ohittaa Applen In App Purchase -mekanismin monissa iOS-sovelluksissa, jolloin käyttäjät voivat hankkia sisällön ilmaiseksi.
Alternate In App Purchase -vahvistuspainike, joka näkyy hakkeroiduissa laitteissa
Menetelmä, joka ei vaadi jailbreakia, sisältää varmenteiden asentamisen käyttäjän laitteelle ja mukautetun DNS-merkinnän käyttämisen. Käyttäjät voivat sitten tehdä sovelluksen sisäisiä ostoksia tavalliseen tapaan, ja heidät ohjataan automaattisesti hakkeroidun järjestelmän läpi.
Sen ilmeisen vaikutuksen lisäksi, että hakkerointi sisältää sisällön varastamisen kehittäjiltä, menetelmä aiheuttaa myös riskejä hakkerin käyttäjille, koska osa heidän omista tiedoistaan välitetään hakkerin palvelimille ostoprosessin aikana. Molemmista näistä syistä käyttäjiä kehotetaan olemaan käyttämättä menetelmää.
mitä se tarkoittaa, kun kiinnität tekstiviestin
Hakkeri on jo häädetty alkuperäisestä isännästään ja oli kuulemma muuttanut uuteen, mutta sivusto on tällä hetkellä poissa käytöstä. On epäselvää, onko se kaatunut vain suuren liikenteen vuoksi vai ryhdytäänkö muihin toimenpiteisiin hänen toiminnan estämiseksi.
Kehittäjät voivat estää hakkerointia toimimasta sovellusten kanssa ottamalla käyttöön In App Purchase -kuitit, joita monet kehittäjät eivät ole sisällyttäneet sovelluksiinsa.
Päivittää : Seuraava verkko katsoo tarkemmin Aleksei Borodinin kehittämällä menetelmällä, jota ei itse asiassa voida estää pelkällä kuitin vahvistamisella.
Borodin tarvitsee vain yhden lahjoitetun kuitin, jonka avulla se voi sitten todentaa kenen tahansa ostopyynnön. Monet näistä kuiteista on lahjoittanut Borodin itse, joka on käyttänyt useita satoja dollareita sovelluksen sisäisiin ostoihin testaamiseen ja kuittien luomiseen. [...]
Koska ohitus emuloi kuitin vahvistuspalvelinta App Storessa, sovellus käsittelee sitä virallisena viestinänä.
kuinka käytän omenakynää
Ongelman ratkaiseminen edellyttää viime kädessä Applelta muutoksia, jotka voivat parantaa sovellusten sisäisissä ostoissa käytettyä APIa tarjoamaan yksilöllisesti allekirjoitetut kuitit, joita ei voitu monistaa massapohjalta kuten Borodinin palvelussa.
Seuraava verkko haastatteli myös Borodin, joka totesi, että hän on luovuttanut sivuston toiminnan kolmannelle osapuolelle välttääkseen ongelmia ja poistaa kaikki tiedot, jotka hän sai operaation suorittamisesta. Borodinin mukaan hänen palvelunsa kautta tehtiin yli 30 000 sovelluksen sisäistä tapahtumaa, ja hän nettoutti vain 6,78 dollaria PayPal-lahjoituksia kulujensa kattamiseksi.
Päivitys 2 : Macworld jutteli myös Borodinin kanssa , joka totesi, että hän todellakin näkee käyttäjien App Store -tilien nimet ja salasanat, koska ne välitetään selkeänä tekstinä osana In App Purchase -prosessia.
Näen Apple ID:n ja salasanan tileillä, jotka yrittävät hakkeroida, Borodin kertoi Macworldille. Mutta ei luottokorttitietoja. Borodin sanoi olevansa järkyttynyt siitä, että salasanat välitettiin pelkkänä tekstinä eikä niitä ole salattu.
[Kehittäjä Marco] Tabinin mukaan Apple kuitenkin olettaa puhuvansa omalle palvelimelleen, jolla on voimassa oleva suojaussertifikaatti. Mutta se oli selvästi virhe – tämä on täysin Applen vika, Tabini lisäsi.
Päivitys 3 : Apple on julkaissut a lyhyt lausunto Silmukka tunnustaa, että se on tietoinen asiasta ja tutkii asiaa.
App Storen turvallisuus on uskomattoman tärkeää meille ja kehittäjäyhteisölle, Natalie Harrison kertoi The Loopille. Otamme vilpillistä toimintaa koskevat ilmoitukset erittäin vakavasti ja tutkimme asiaa.
Suosittu Viestiä