Kot zabeležil 9 do 5Mac , je ruski heker razvil razmeroma preprosto metodo, ki uporabnikom omogoča, da zaobidejo Applov mehanizem In App Purchase v številnih aplikacijah za iOS, ki uporabnikom omogoča brezplačno pridobivanje vsebine.
Nadomestni gumb za potrditev nakupa v aplikaciji je viden na vdrtih napravah
Metoda, ki ne zahteva jailbreakinga, vključuje namestitev para potrdil na uporabnikovo napravo in nato uporabo vnosa DNS po meri. Uporabniki lahko nato opravljajo nakupe v aplikaciji kot običajno in so samodejno preusmerjeni skozi vdrti sistem.
Poleg očitnega vpliva, da vdiranje vključuje krajo vsebine razvijalcev, metoda predstavlja tudi tveganje za tiste, ki uporabljajo vdiranje, saj se nekateri njihovi lastni podatki med postopkom nakupa prenašajo na hekerjeve strežnike. Iz obeh razlogov uporabnikom močno odsvetujemo uporabo metode.
kar je vedno na zaslonu mrežnice
Hekerja so že izgnali iz svojega prvotnega gostitelja in naj bi se preselil na novega, vendar spletno mesto trenutno ne deluje. Ni jasno, ali je upad zgolj zaradi velikega prometa ali pa se sprejemajo drugi ukrepi za oviranje njegovih dejavnosti.
Razvijalci lahko preprečijo vdoru, da bi deloval z njihovimi aplikacijami, tako da uvedejo preverjanje potrdil o nakupu aplikacije, česar mnogi razvijalci niso vključili v svoje aplikacije.
Nadgradnja : Naslednji splet pobliže pogleda po metodi, ki jo je razvil Alexey Borodin, ki je pravzaprav ni mogoče preprečiti preprosto z uporabo potrditve potrdila.
Vse, kar Borodin potrebuje za storitev, je en sam donacijski račun, ki ga lahko nato uporabi za preverjanje pristnosti zahtev za nakup. Veliko teh potrdil je podaril sam Borodin, ki je porabil več sto dolarjev za testiranje in ustvarjanje računov za nakupe v aplikaciji. [...]
Ker bypass posnema strežnik za preverjanje prejema v App Store, ga aplikacija obravnava kot uradno komunikacijo, točka.
tovarniško ponastavitev iphone 6 z gumbi
Reševanje težave bo na koncu zahtevalo spremembe s strani Apple, kar bi lahko izboljšalo API, ki se uporablja za nakupe v aplikaciji, da bi zagotovil edinstveno podpisane račune, ki jih ni bilo mogoče množično podvajati kot pri Borodinovi storitvi.
Naslednji splet intervjuval tudi Borodina, ki je povedal, da je delovanje strani predal tretji osebi, da bi se izognil težavam, in bo izbrisal vse podatke, ki jih je pridobil z vodenjem operacije. Po Borodinovih besedah je bilo prek njegove storitve opravljenih več kot 30.000 transakcij v aplikaciji, za pomoč pri kritju stroškov pa je prejel le 6,78 USD donacij PayPal.
Posodobitev 2 : Macworld klepetal tudi z Borodinom , ki je opozoril, da lahko dejansko vidi imena računov in gesla uporabnikov App Store, saj se posredujejo v jasnem besedilu kot del postopka nakupa v aplikaciji.
Vidim Apple ID in geslo za račune, ki poskušajo vdreti, je Borodin povedal za Macworld. Vendar ne podatki o kreditni kartici. Borodin je dejal, da je bil šokiran, da so bila gesla posredovana v golem besedilu in ne šifrirana.
Po besedah [razvijalca Marca] Tabinija Apple domneva, da se pogovarja s svojim strežnikom z veljavnim varnostnim potrdilom. Toda to je bila očitna napaka - za to je v celoti kriv Apple, je dodal Tabini.
Posodobitev 3 : Apple je izdal a kratka izjava za Zanka potrjuje, da je seznanjen z zadevo in jo raziskuje.
Varnost App Store je za nas izjemno pomembna in skupnost razvijalcev, Natalie Harrison, je za The Loop povedala. Prijave o goljufijskih dejavnostih jemljemo zelo resno in preiskujemo.
Priljubljene Objave