Som noterat av 9to5Mac , har en rysk hacker utvecklat en relativt enkel metod för att tillåta användare att kringgå Apples köpmekanism i appar på många iOS-appar, vilket gör att användarna kan få innehållet gratis.
Alternativ bekräftelseknapp för köp i appen ses på hackade enheter
Metoden, som inte kräver jailbreaking, går ut på att installera ett par certifikat på användarens enhet och sedan använda en anpassad DNS-post. Användare kan sedan göra köp i appen som vanligt och automatiskt omdirigeras genom det hackade systemet.
Förutom den uppenbara effekten att hacket innebär stöld av innehåll från utvecklare, innebär metoden även risker för de som använder hacket, eftersom en del av deras egen information överförs till hackarens servrar under köpprocessen. Av båda dessa skäl rekommenderas användare starkt att inte fortsätta med metoden.
när kommer nya macbook air
Hackaren har redan vräkts från sin ursprungliga värd och hade enligt uppgift flyttat till en ny, men sidan är för närvarande nere. Det är oklart om den ligger nere bara på grund av hög trafik eller om andra åtgärder vidtas för att hindra hans verksamhet.
Utvecklare kan förhindra hacket från att fungera med sina appar genom att implementera validering av In App Purchase-kvitton, något som många utvecklare inte har inkluderat i sina appar.
Uppdatering : Nästa webb tar en närmare titt på metoden utvecklad av Alexey Borodin, som faktiskt inte kan förhindras bara genom att använda kvittovalidering.
Allt Borodins servicebehov är ett enda donerat kvitto, som det sedan kan använda för att autentisera vem som helsts köpförfrågningar. Många av dessa kvitton har donerats av Borodin själv, som har spenderat flera hundra dollar på att testa inköp i appar och generera kvitton. [...]
Eftersom förbikopplingen emulerar kvittotverifieringsservern på App Store, behandlar appen det som en officiell kommunikation, punkt.
kan du koppla ihop airpods till Apple Watch
För att åtgärda problemet kommer i slutändan att krävas ändringar av Apple, vilket kan förbättra API:et som används för In-App-köp för att tillhandahålla unikt signerade kvitton som inte kan dupliceras på massbasis som med Borodins tjänst.
Nästa webb intervjuade också Borodin, som noterade att han har överlåtit driften av webbplatsen till en tredje part för att undvika problem och kommer att radera all information han fått från driften av operationen. Enligt Borodin gjordes över 30 000 transaktioner i appen genom hans tjänst, och han tjänade bara ,78 i PayPal-donationer för att hjälpa till med sina kostnader.
Uppdatering 2 : Macworld chattade också med Borodin , som noterade att han verkligen kan se användarnas App Store-kontonamn och lösenord, eftersom de sänds i klartext som en del av In App Purchase-processen.
Jag kan se Apple-ID och lösenord för konton som försöker hacka, sa Borodin till Macworld. Men inte kreditkortsinformationen. Borodin sa att han var chockad över att lösenord skickades i vanlig text och inte krypterade.
Enligt [utvecklaren Marco] Tabini antar Apple dock att det pratar med sin egen server med ett giltigt säkerhetscertifikat. Men det var helt klart ett misstag – det här är helt och hållet Apples fel, tillade Tabini.
Uppdatering 3 : Apple har utfärdat en kort uttalande till Loopen erkänner att den är medveten om och undersöker frågan.
Säkerheten i App Store är otroligt viktig för oss och utvecklargemenskapen, sa Natalie Harrison till The Loop. Vi tar rapporter om bedräglig verksamhet på största allvar och vi utreder det.
Populära Inlägg