Nagu märkis ära 9 kuni 5Mac , on Venemaa häkker välja töötanud suhteliselt lihtsa meetodi, mis võimaldab kasutajatel paljudes iOS-i rakendustes Apple'i rakendusesisese ostu mehhanismist mööda minna, võimaldades kasutajatel sisu tasuta hankida.
Alternatiivne rakendusesisese ostu kinnitusnupp, mida on näha häkitud seadmetes
Meetod, mis ei nõua jailbreak'i, hõlmab sertifikaadipaari installimist kasutaja seadmesse ja seejärel kohandatud DNS-i kirje kasutamist. Seejärel saavad kasutajad tavapäraselt rakendusesiseseid oste sooritada ja nad suunatakse automaatselt läbi häkitud süsteemi.
Lisaks ilmselgele mõjule, et häkkimine hõlmab sisu vargust arendajatelt, kujutab meetod endast ohtu ka häkkimise kasutajatele, kuna osa nende enda teabest edastatakse ostuprotsessi käigus häkkeri serveritesse. Mõlemal põhjusel on kasutajatel tungivalt soovitatav seda meetodit mitte kasutada.
kuidas iPhone'is värskendusi tühistada
Häkker on juba oma algsest hostist välja tõstetud ja väidetavalt kolis uude, kuid sait on praegu maas. On ebaselge, kas see on maas lihtsalt tiheda liikluse tõttu või astutakse muid samme tema tegevuse takistamiseks.
Arendajad saavad takistada häkkimist oma rakendustega töötamast, rakendades rakendusesisese ostukviitungite valideerimist, mida paljud arendajad pole oma rakendustesse lisanud.
Värskenda : Järgmine veeb vaatab lähemalt Aleksei Borodini väljatöötatud meetodil, mida tegelikult ei saa lihtsalt kviitungi kontrollimise abil ära hoida.
Kõik Borodini teenusevajadused on üks annetatud kviitung, mida ta saab seejärel kasutada igaühe ostusoovide autentimiseks. Paljud neist kviitungitest on annetanud Borodin ise, kes on kulutanud mitusada dollarit rakendusesiseste ostude testimiseks ja kviitungite genereerimiseks. [...]
Kuna möödaviik emuleerib App Store'i kviitungi kinnitamise serverit, käsitleb rakendus seda ametliku suhtlusena.
kuidas kaamerat facetime'is välja lülitada
Probleemi lahendamine nõuab lõpuks Apple'i muudatusi, mis võivad täiustada rakendusesiseste ostude jaoks kasutatavat API-d, et pakkuda kordumatult allkirjastatud kviitungeid, mida ei saa massiliselt kopeerida nagu Borodini teenuse puhul.
Järgmine veeb intervjueeris ka Borodini, kes märkis, et on probleemide vältimiseks andnud saidi haldamise üle kolmandale osapoolele ja kustutab kogu teabe, mille ta sai operatsiooni juhtimisest. Borodini sõnul tehti tema teenuse kaudu üle 30 000 rakendusesisese tehingu ja ta teenis oma kulude katteks PayPali annetustena vaid 6,78 dollarit.
Värskendus 2 : Macworld vestles ka Borodiniga , kes märkis, et ta näeb tõepoolest kasutajate App Store'i kontode nimesid ja paroole, kuna need edastatakse selge tekstina rakendusesisese ostu protsessi osana.
Näen häkkimist proovivate kontode Apple ID-d ja parooli, ütles Borodin Macworldile. Kuid mitte krediitkaardi andmed. Borodin ütles, et ta oli šokeeritud, et paroolid edastati lihttekstina ja neid ei krüptitud.
[Arendaja Marco] Tabini sõnul eeldab Apple siiski, et ta räägib oma serveriga, millel on kehtiv turvasertifikaat. Kuid see oli selgelt viga - see on täielikult Apple'i süü, lisas Tabini.
Värskendus 3 : Apple on välja andnud a lühike avaldus Loop tunnistades, et ta on probleemist teadlik ja uurib seda.
App Store'i turvalisus on meile ja arendajate kogukonnale väga oluline, rääkis Natalie Harrison The Loopile. Suhtume petturliku tegevuse teateid väga tõsiselt ja uurime.
Lemmik Postitused