Οπως και σημειώθηκε από 9 έως 5 Mac , ένας Ρώσος χάκερ έχει αναπτύξει μια σχετικά απλή μέθοδο για να επιτρέπει στους χρήστες να παρακάμπτουν τον μηχανισμό Αγοράς In App της Apple σε πολλές εφαρμογές iOS, επιτρέποντας στους χρήστες να αποκτούν το περιεχόμενο δωρεάν.
Κουμπί επιβεβαίωσης Εναλλακτικής Αγοράς εντός εφαρμογής σε συσκευές που έχουν παραβιαστεί
Η μέθοδος, η οποία δεν απαιτεί jailbreaking, περιλαμβάνει την εγκατάσταση ενός ζεύγους πιστοποιητικών στη συσκευή του χρήστη και στη συνέχεια τη χρήση μιας προσαρμοσμένης καταχώρησης DNS. Οι χρήστες μπορούν στη συνέχεια να πραγματοποιούν αγορές εντός εφαρμογής ως συνήθως και να ανακατευθύνονται αυτόματα μέσω του παραβιασμένου συστήματος.
Εκτός από τον προφανή αντίκτυπο ότι το hack περιλαμβάνει κλοπή περιεχομένου από προγραμματιστές, η μέθοδος ενέχει επίσης κινδύνους για όσους χρησιμοποιούν το hack, καθώς ορισμένες από τις δικές τους πληροφορίες μεταδίδονται στους διακομιστές του χάκερ κατά τη διαδικασία αγοράς. Και για τους δύο αυτούς λόγους, συνιστάται στους χρήστες να μην ακολουθήσουν τη μέθοδο.
πώς να ελέγξετε την μπαταρία του powerbeats pro
Ο χάκερ έχει ήδη εκδιωχθεί από τον αρχικό του οικοδεσπότη και φέρεται να είχε μετακομίσει σε νέο, αλλά ο ιστότοπος αυτή τη στιγμή δεν λειτουργεί. Δεν είναι ξεκάθαρο αν έχει πέσει μόνο λόγω μεγάλης κίνησης ή αν γίνονται άλλα μέτρα για να εμποδίσουν τις δραστηριότητές του.
Οι προγραμματιστές μπορούν να αποτρέψουν την παραβίαση από το να λειτουργεί με τις εφαρμογές τους, εφαρμόζοντας την επικύρωση των αποδείξεων αγοράς εντός εφαρμογής, κάτι που πολλοί προγραμματιστές δεν έχουν συμπεριλάβει στις εφαρμογές τους.
Εκσυγχρονίζω : Ο Επόμενος Ιστός ρίχνει μια πιο προσεκτική ματιά στη μέθοδο που αναπτύχθηκε από τον Alexey Borodin, η οποία στην πραγματικότητα δεν μπορεί να αποτραπεί χρησιμοποιώντας απλώς την επικύρωση απόδειξης.
Όλες οι ανάγκες εξυπηρέτησης του Borodin είναι μια ενιαία απόδειξη δωρεάς, την οποία μπορεί στη συνέχεια να χρησιμοποιήσει για τον έλεγχο ταυτότητας των αιτημάτων αγοράς οποιουδήποτε. Πολλές από αυτές τις αποδείξεις έχουν δωριστεί από τον ίδιο τον Borodin, ο οποίος έχει ξοδέψει αρκετές εκατοντάδες δολάρια σε αγορές εντός εφαρμογής δοκιμάζοντας και δημιουργώντας αποδείξεις. [...]
Επειδή η παράκαμψη προσομοιώνει τον διακομιστή επαλήθευσης αποδείξεων στο App Store, η εφαρμογή το αντιμετωπίζει ως επίσημη επικοινωνία, τελεία.
Πώς να ρυθμίσετε το χρονόμετρο φωτογραφιών στο iphone
Η αντιμετώπιση του προβλήματος θα απαιτήσει τελικά αλλαγές από την Apple, οι οποίες θα μπορούσαν να βελτιώσουν το API που χρησιμοποιείται για τις αγορές εντός εφαρμογών ώστε να παρέχει μοναδικά υπογεγραμμένες αποδείξεις που δεν θα μπορούσαν να αντιγραφούν σε μαζική βάση όπως στην υπηρεσία του Borodin.
Ο Επόμενος Ιστός Πήρε επίσης συνέντευξη από τον Borodin, ο οποίος σημείωσε ότι έχει παραδώσει τη λειτουργία του ιστότοπου σε τρίτους για να αποφύγει προβλήματα και θα διαγράψει όποια πληροφορία έλαβε από τη λειτουργία της λειτουργίας. Σύμφωνα με τον Borodin, πάνω από 30.000 συναλλαγές εντός εφαρμογής πραγματοποιήθηκαν μέσω της υπηρεσίας του και κέρδισε μόλις 6,78 $ σε δωρεές PayPal για να βοηθήσει με τα έξοδά του.
Ενημέρωση 2 : Macworld μίλησε επίσης με τον Μποροντίν , ο οποίος σημείωσε ότι μπορεί πράγματι να δει τα ονόματα και τους κωδικούς πρόσβασης των λογαριασμών στο App Store των χρηστών, καθώς μεταδίδονται σε καθαρό κείμενο ως μέρος της διαδικασίας Αγοράς στην εφαρμογή.
Μπορώ να δω το Apple ID και τον κωδικό πρόσβασης, για λογαριασμούς που δοκιμάζουν το hack, είπε ο Borodin στο Macworld. Όχι όμως τα στοιχεία της πιστωτικής κάρτας. Ο Borodin είπε ότι ήταν σοκαρισμένος που οι κωδικοί πρόσβασης διαβιβάστηκαν σε απλό κείμενο και δεν ήταν κρυπτογραφημένοι.
Σύμφωνα με τον [προγραμματιστή Marco] Tabini, ωστόσο, η Apple υποθέτει ότι μιλά στον δικό της διακομιστή με έγκυρο πιστοποιητικό ασφαλείας. Αλλά αυτό ήταν ξεκάθαρα ένα λάθος - αυτό είναι αποκλειστικά λάθος της Apple, πρόσθεσε ο Tabini.
Ενημέρωση 3 : Η Apple εξέδωσε α σύντομη δήλωση προς Ο βρόχος αναγνωρίζοντας ότι γνωρίζει και διερευνά το θέμα.
Η ασφάλεια του App Store είναι απίστευτα σημαντική για εμάς και η κοινότητα προγραμματιστών, η Natalie Harrison, είπε στο The Loop. Λαμβάνουμε πολύ σοβαρά υπόψη τις αναφορές για δόλια δραστηριότητα και ερευνούμε.
Δημοφιλείς Αναρτήσεις