Jak zauważył 9to5Mac , rosyjski haker opracował stosunkowo prostą metodę pozwalającą użytkownikom na ominięcie mechanizmu zakupów w aplikacji Apple w wielu aplikacjach na iOS, umożliwiając użytkownikom uzyskanie zawartości za darmo.
Przycisk potwierdzenia alternatywnego zakupu w aplikacji widoczny na zhakowanych urządzeniach
Metoda, która nie wymaga jailbreakingu, polega na zainstalowaniu pary certyfikatów na urządzeniu użytkownika, a następnie użyciu niestandardowego wpisu DNS. Użytkownicy mogą następnie dokonywać zakupów w aplikacji jak zwykle i automatycznie są przekierowywani przez zhakowany system.
Oprócz oczywistego wpływu, że włamanie wiąże się z kradzieżą treści od programistów, metoda ta stwarza również ryzyko dla osób korzystających z hakowania, ponieważ niektóre z ich własnych informacji są przesyłane na serwery hakerów podczas procesu zakupu. Z obu tych powodów użytkownikom zdecydowanie odradza się stosowanie tej metody.
jak naprawić jeden airpod, który nie działa?
Haker został już eksmitowany ze swojego pierwotnego hosta i podobno przeniósł się na nowy, ale strona jest obecnie niedostępna. Nie jest jasne, czy nie działa po prostu z powodu dużego ruchu, czy też podejmowane są inne kroki, aby utrudnić jego działalność.
Deweloperzy mogą uniemożliwić hakerowi działanie z ich aplikacjami, wdrażając weryfikację pokwitowań zakupu w aplikacji, czego wielu programistów nie uwzględniło w swoich aplikacjach.
Aktualizacja : Następna sieć przygląda się bliżej w metodzie opracowanej przez Aleksieja Borodina, której właściwie nie można zapobiec, po prostu stosując walidację paragonów.
Wszystkie potrzeby serwisowe Borodina to pojedynczy darowany rachunek, który może następnie wykorzystać do uwierzytelnienia czyichkolwiek żądań zakupu. Wiele z tych paragonów zostało podarowanych przez samego Borodina, który wydał kilkaset dolarów na testowanie zakupów w aplikacji i generowanie paragonów. [...]
Ponieważ obejście emuluje serwer weryfikacji paragonów w App Store, aplikacja traktuje to jako oficjalny komunikat, kropka.
co oznacza filtr nieznanych nadawców
Rozwiązanie tego problemu będzie ostatecznie wymagać zmian przez Apple, które mogą ulepszyć interfejs API używany do zakupów w aplikacji, aby zapewnić unikatowo podpisane pokwitowania, których nie można powielać masowo, jak w przypadku usługi Borodin.
Następna sieć przeprowadził również wywiad z Borodinem, który zauważył, że przekazał obsługę strony osobie trzeciej, aby uniknąć kłopotów i będzie usuwał wszelkie informacje, które uzyskał podczas prowadzenia operacji. Według Borodina za pośrednictwem jego usługi dokonano ponad 30 000 transakcji w aplikacji, a on zarobił zaledwie 6,78 USD w darowiznach PayPal, aby pomóc w pokryciu kosztów.
Aktualizacja 2 : Macworld również rozmawiał z Borodin , który zauważył, że rzeczywiście widzi nazwy kont i hasła użytkowników w App Store, ponieważ są one przesyłane w postaci zwykłego tekstu w ramach procesu zakupu w aplikacji.
Widzę identyfikator Apple ID i hasło do kont, które próbują włamać się, powiedział Borodin Macworld. Ale nie informacje o karcie kredytowej. Borodin powiedział, że był zszokowany, że hasła były przekazywane w postaci zwykłego tekstu i nie były szyfrowane.
Według [programisty Marco] Tabiniego Apple zakłada jednak, że rozmawia z własnym serwerem z ważnym certyfikatem bezpieczeństwa. Ale to wyraźnie pomyłka – to całkowicie wina Apple, dodał Tabini.
Aktualizacja 3 : Apple wydało krótkie oświadczenie do Pętla potwierdzając, że jest świadomy tego problemu i badając go.
Bezpieczeństwo App Store jest niezwykle ważne dla nas i społeczności programistów, Natalie Harrison, powiedziała The Loop. Bardzo poważnie traktujemy zgłoszenia oszustw i prowadzimy dochodzenie.
Popularne Wiadomości