Appleov postupak kupnje u aplikaciji zaobišao je ruski haker
Videozapis uklonjen zbog potraživanja autorskih prava od Applea
Danas smo dobili nekoliko uznemirujućih savjeta da je ruski programer objavio metodu besplatnog dobivanja kupnji putem aplikacija iz iOS aplikacija. Prvi primijetio Ruski blog i-ekb.ru, metoda „proxy u aplikaciji“ ne zahtijeva jailbreak, novaci mogu izvršiti u tri koraka koristeći samo iOS uređaj, a korisnicima omogućuje besplatnu instalaciju sadržaja unutar aplikacije. Hak također radi na svim uređajima s iOS-om 3.0 do 6.0. Potvrdili smo da metoda djeluje (barem privremeno), a objavljene upute počinju privlačiti pažnju, pa smo odlučili objaviti ovu priču kao upozorenje zajednici programera Apple.
Čini se da hack dolazi od ruskog programera ZonD80 koji je objavio gornju video demonstraciju. Čini se da ZonD80 pokreće i web stranicu pod nazivom In-AppStore.com , gdje se primaju donacije kao podrška razvoju projekta i pomažu u održavanju i radu poslužitelja. Programer je objasnio tri koraka hakiranja, koja uključuju instalaciju CA certifikata, instalaciju in-appstore.com certifikata i promjenu DNS zapisa u Wi-Fi postavkama. Nakon brzog postupka, korisnicima se prikazuje poruka na slici iznad prilikom instaliranja kupnji putem aplikacije, za razliku od uobičajenog Appleovog dijaloškog okvira za potvrdu kupnje. Činjenica da se ovaj hack koristi za krađu sadržaja za kupnju u aplikaciji možda je jednako zabrinjavajuća kao i uvjeti usluge programera. Ispod je popis podataka obrađenih putem razvojnih poslužitelja kao dio procesa (ali opet molimo čitatelje da ovo ne pokušaju):
xbox serija x tvrdi disk
-razina ograničenja aplikacije
-id aplikacije
-id verzije
-vodeći svoje idevice
-količina kupnje u aplikaciji
-ponuda naziva kupnje u aplikaciji
-jezik koji koristite
-identifikator aplikacije
-verzija primjene
-svoje mjesto
Metoda ne dopušta korisnicima da instaliraju sadržaj iz 100 posto aplikacija, jer neki korisnici metode prijavljuju da on ne uspijeva za određene kupnje putem aplikacije u određenim regijama. To naravno nije nešto što odobravamo. Unatoč upozorenjima samog programera da moli 'ne piratira AppStore aplikacije', on nastavio kako bi pomogao korisnicima hakova koji prijavljuju da ne radi s određenim aplikacijama. Nadamo se da će Apple i zajednica programera moći isključiti ovog tipa prije nego što se previše sadržaja ilegalno preuzme.
Ažuriraj: Komentatori primijetio da Apple pruža metodu za programere potvrditi potvrde o kupnjama u aplikaciji . To je vjerojatno razlog zašto gore opisani hak ne radi s nekim aplikacijama i nešto je što bi svi programeri koji implementiraju IAP trebali iskoristiti.
Ažuriranje 2: TNW razgovarao sa Alexey V. Borodin, programer hakovanja, koji je tvrdio da aplikacije koje koriste gore spomenutu Appleovu metodu provjere valjanosti nisu sigurne. Prema Borodinu, samo programeri koji koriste vlastite poslužitelje za provjeru kupnji putem aplikacije mogu izbjeći hakanje.
Ažuriranje 3: Apple ima odgovorio na Petlja u vezi sa situacijom sa sljedećom izjavom:
'Sigurnost App Storea nevjerojatno je važna za nas i zajednicu programera', rekla je predstavnica Applea Natalie Harrison za The Loop. 'Izvješća o prevarama shvaćamo vrlo ozbiljno i istražujemo.'
Povezani članci
- Apple kaže programerima da počnu slati svoje OS X Mountain Lion aplikacije (9to5mac.com)
FTC: Koristimo auto affiliate poveznice koje zarađuju. Više.