La fel de notat de 9to5Mac , un hacker rus a dezvoltat o metodă relativ simplă pentru a permite utilizatorilor să ocolească mecanismul Apple In App Purchase pe multe aplicații iOS, permițând utilizatorilor să obțină conținutul gratuit.
Buton alternativ de confirmare a achiziției în aplicație văzut pe dispozitivele piratate
Metoda, care nu necesită jailbreaking, presupune instalarea unei perechi de certificate pe dispozitivul utilizatorului și apoi utilizarea unei intrări DNS personalizate. Utilizatorii pot efectua apoi achiziții în aplicație ca de obicei și pot fi redirecționați automat prin sistemul piratat.
Pe lângă impactul evident că hack-ul implică furtul de conținut de la dezvoltatori, metoda prezintă și riscuri pentru cei care folosesc hack-ul, deoarece unele dintre informațiile proprii sunt transmise serverelor hackerului în timpul procesului de cumpărare. Din ambele motive, utilizatorii sunt sfătuiți cu insistență să nu urmeze metoda.
când iese macos monterey
Hackerul a fost deja evacuat din gazda lui originală și se pare că s-a mutat la una nouă, dar site-ul este în prezent oprit. Nu este clar dacă este în jos din cauza traficului ridicat sau dacă se iau alte măsuri pentru a-i împiedica activitățile.
Dezvoltatorii pot împiedica hack-ul să lucreze cu aplicațiile lor prin implementarea validării chitanțelor de achiziție în aplicație, ceva ce mulți dezvoltatori nu l-au inclus în aplicațiile lor.
Actualizați : Următorul Web aruncă o privire mai atentă la metoda dezvoltată de Alexey Borodin, care de fapt nu poate fi prevenită prin simpla utilizare a validării chitanței.
Toate nevoile de servicii ale lui Borodin sunt o singură chitanță donată, pe care o poate folosi apoi pentru a autentifica cererile de cumpărare ale oricui. Multe dintre aceste chitanțe au fost donate de Borodin însuși, care a cheltuit câteva sute de dolari pentru testarea achizițiilor în aplicație și generarea de chitanțe. [...]
Deoarece bypass-ul emulează serverul de verificare a chitanțelor din App Store, aplicația îl tratează ca pe o comunicare oficială, punct.
iphone 13 pro max culori data lansării
Remedierea problemei va necesita în cele din urmă modificări de către Apple, care ar putea îmbunătăți API-ul utilizat pentru achizițiile în aplicație pentru a oferi chitanțe semnate unic, care nu ar putea fi duplicate în masă, ca în cazul serviciului Borodin.
Următorul Web l-a intervievat și pe Borodin, care a remarcat că a predat operarea site-ului unei terțe părți pentru a evita problemele și va șterge orice informație pe care a obținut-o în urma operațiunii. Potrivit lui Borodin, peste 30.000 de tranzacții în aplicație au fost efectuate prin intermediul serviciului său și a obținut doar 6,78 USD în donații PayPal pentru a-și ajuta cu costurile.
Actualizare 2 : Macworld a vorbit și cu Borodin , care a remarcat că poate vedea într-adevăr numele și parolele conturilor din App Store ale utilizatorilor, deoarece acestea sunt transmise în text clar ca parte a procesului de achiziție în aplicație.
Pot vedea ID-ul Apple și parola, pentru conturile care încearcă hack-ul, a spus Borodin pentru Macworld. Dar nu și informațiile despre cardul de credit. Borodin a spus că a fost șocat că parolele au fost transmise în text simplu și nu criptate.
Potrivit [dezvoltatorului Marco] Tabini, totuși, Apple presupune că vorbește cu propriul său server cu un certificat de securitate valabil. Dar aceasta a fost în mod clar o greșeală – aceasta este în totalitate vina Apple, a adăugat Tabini.
Actualizare 3 : Apple a emis un scurtă declarație către Bucla recunoscând că este conștient și investighează problema.
Securitatea App Store este incredibil de importantă pentru noi și pentru comunitatea de dezvoltatori, Natalie Harrison, a declarat pentru The Loop. Luăm foarte în serios raportările de activitate frauduloasă și investigăm.
Posturi Populare