Bilang binanggit ni 9to5Mac , isang Russian hacker ay nakabuo ng medyo simpleng paraan upang payagan ang mga user na i-bypass ang mekanismo ng In App Purchase ng Apple sa maraming iOS app, na nagpapahintulot sa mga user na makuha ang content nang libre.
Ang Alternate In App Purchase na button ng kumpirmasyon na makikita sa mga na-hack na device
Ang pamamaraan, na hindi nangangailangan ng jailbreaking, ay nagsasangkot ng pag-install ng isang pares ng mga certificate sa device ng user at pagkatapos ay paggamit ng custom na DNS entry. Ang mga user ay maaaring magsagawa ng mga in-app na pagbili gaya ng dati at awtomatikong ma-redirect sa pamamagitan ng na-hack na system.
Bukod sa halatang epekto na ang hack ay nagsasangkot ng pagnanakaw ng nilalaman mula sa mga developer, ang pamamaraan ay nagdudulot din ng mga panganib sa mga gumagamit ng hack, dahil ang ilan sa kanilang sariling impormasyon ay ipinapadala sa mga server ng hacker sa panahon ng proseso ng pagbili. Para sa parehong mga kadahilanang iyon, ang mga gumagamit ay mahigpit na pinapayuhan na huwag ituloy ang pamamaraan.
paano ko ikokonekta ang aking mga airpod sa aking mac
Ang hacker ay pinaalis na mula sa kanyang orihinal na host at iniulat na lumipat sa isang bago, ngunit ang site ay kasalukuyang naka-down. Ito ay hindi malinaw kung ito ay down dahil lamang sa mataas na trapiko o kung ang iba pang mga hakbang ay ginagawa upang hadlangan ang kanyang mga aktibidad.
Maaaring pigilan ng mga developer ang hack mula sa pagtatrabaho sa kanilang mga app sa pamamagitan ng pagpapatupad ng pagpapatunay ng mga In App Purchase na resibo, isang bagay na hindi kasama ng maraming developer sa kanilang mga app.
Update : Ang Susunod na Web tumitingin ng malapitan sa paraang binuo ni Alexey Borodin, na talagang hindi mapipigilan sa pamamagitan lamang ng paggamit ng pagpapatunay ng resibo.
Ang lahat ng pangangailangan sa serbisyo ng Borodin ay iisang donasyong resibo, na maaari nitong gamitin upang patotohanan ang mga kahilingan sa pagbili ng sinuman. Marami sa mga resibong iyon ay naibigay mismo ni Borodin, na gumastos ng ilang daang dolyar sa mga in-app na pagbili sa pagsubok at pagbuo ng mga resibo. [...]
Dahil ginagaya ng bypass ang server ng pag-verify ng resibo sa App Store, itinuring ito ng app bilang isang opisyal na komunikasyon, sa panahon.
paano kumuha ng sim card sa ipad
Ang pagtugon sa isyu sa huli ay mangangailangan ng mga pagbabago ng Apple, na maaaring mapahusay ang API na ginagamit para sa In App Purchases upang magbigay ng mga natatanging nilagdaan na resibo na hindi maaaring ma-duplicate nang maramihan gaya ng sa serbisyo ng Borodin.
Ang Susunod na Web nakapanayam din si Borodin, na nabanggit na ibinalik niya ang operasyon ng site sa isang third party upang maiwasan ang gulo at tatanggalin ang anumang impormasyon na nakuha niya mula sa pagpapatakbo ng operasyon. Ayon kay Borodin, mahigit 30,000 in-app na transaksyon ang ginawa sa pamamagitan ng kanyang serbisyo, at nakakuha lamang siya ng .78 sa mga donasyon sa PayPal upang makatulong sa kanyang mga gastos.
Update 2 : Macworld nakipag-chat din kay Borodin , na nagsabing talagang nakikita niya ang mga pangalan at password ng App Store account ng mga user, dahil ipinapadala ang mga ito sa malinaw na text bilang bahagi ng proseso ng In App Purchase.
Nakikita ko ang Apple ID at password, para sa mga account na sumusubok sa hack, sinabi ni Borodin sa Macworld. Ngunit hindi ang impormasyon ng credit card. Sinabi ni Borodin na nagulat siya na ang mga password ay naipasa sa plain text at hindi naka-encrypt.
Ayon kay [developer Marco] Tabini, bagaman, ipinapalagay ng Apple na nakikipag-usap ito sa sarili nitong server na may wastong sertipiko ng seguridad. Ngunit iyon ay malinaw na isang pagkakamali-Ito ay ganap na kasalanan ng Apple, idinagdag ni Tabini.
Update 3 : Naglabas ang Apple ng isang maikling pahayag sa Ang Loop pagkilala na alam nito at sinisiyasat ang isyu.
Ang seguridad ng App Store ay hindi kapani-paniwalang mahalaga sa amin at ang komunidad ng developer, si Natalie Harrison, ay nagsabi sa The Loop. Sineseryoso namin ang mga ulat ng mapanlinlang na aktibidad at nag-iimbestiga kami.
Patok Na Mga Post