Ako poznamenal 9 až 5 Mac , ruský hacker vyvinul relatívne jednoduchú metódu, ktorá umožňuje používateľom obísť mechanizmus nákupu v aplikácii Apple v mnohých aplikáciách pre iOS, čo používateľom umožňuje získať obsah zadarmo.
Tlačidlo potvrdenia nákupu alternatívnej aplikácie zobrazené na napadnutých zariadeniach
Metóda, ktorá nevyžaduje útek z väzenia, zahŕňa inštaláciu dvojice certifikátov do zariadenia používateľa a následné použitie vlastného záznamu DNS. Používatelia potom môžu vykonávať nákupy v aplikácii ako zvyčajne a budú automaticky presmerovaní cez napadnutý systém.
Okrem zjavného dopadu, že hack zahŕňa krádež obsahu od vývojárov, metóda predstavuje aj riziká pre tých, ktorí hack používajú, pretože niektoré z ich vlastných informácií sa prenášajú na servery hackera počas procesu nákupu. Z oboch týchto dôvodov sa používateľom dôrazne odporúča, aby túto metódu nepoužívali.
ako bude vyzerať iphone 8
Hacker už bol vysťahovaný zo svojho pôvodného hostiteľa a údajne sa presťahoval do nového, ale stránka je momentálne mimo prevádzky. Nie je jasné, či je nefunkčný jednoducho kvôli vysokej návštevnosti, alebo sa podnikajú iné kroky, ktoré by bránili jeho činnosti.
Vývojári môžu zabrániť hackingu v práci s ich aplikáciami implementáciou overenia potvrdení o nákupe v aplikácii, čo mnohí vývojári do svojich aplikácií nezahrnuli.
Aktualizovať : Ďalší web pozrie bližšie pri metóde vyvinutej Alexeyom Borodinom, ktorej sa v skutočnosti nedá zabrániť jednoducho použitím overovania účteniek.
Všetky služby, ktoré spoločnosť Borodin potrebuje, je jeden darovaný doklad, ktorý potom môže použiť na overenie žiadostí o nákup kohokoľvek. Mnohé z týchto potvrdení daroval sám Borodin, ktorý minul niekoľko stoviek dolárov na testovanie nákupov v aplikácii a generovanie potvrdení. [...]
Pretože obtok emuluje server overovania účteniek v App Store, aplikácia to považuje za oficiálnu komunikáciu.
ako odstrániť program z mac
Riešenie tohto problému si v konečnom dôsledku vyžiada zmeny od spoločnosti Apple, ktoré by mohli vylepšiť rozhranie API používané na nákupy v aplikácii tak, aby poskytovalo jedinečne podpísané účtenky, ktoré by nebolo možné hromadne duplikovať ako v prípade služby Borodin.
Ďalší web robil rozhovor aj s Borodinom, ktorý poznamenal, že prevádzkovanie stránky odovzdal tretej strane, aby sa vyhol problémom, a vymaže všetky informácie, ktoré získal pri prevádzke. Podľa Borodina sa prostredníctvom jeho služby uskutočnilo viac ako 30 000 transakcií v aplikácii a on získal iba 6,78 $ z darov PayPal, aby pomohol s jeho nákladmi.
Aktualizácia 2 : Macworld tiež chatoval s Borodinom , ktorý poznamenal, že skutočne vidí mená a heslá účtov používateľov v App Store, pretože sú prenášané vo forme čistého textu v rámci procesu nákupu v aplikácii.
Vidím Apple ID a heslo pre účty, ktoré skúšajú hack, povedal Borodin Macworldu. Nie však informácie o kreditnej karte. Borodin povedal, že ho šokovalo, že heslá sa odovzdávali ako obyčajný text a neboli zašifrované.
Podľa [vývojára Marca] Tabiniho však Apple predpokladá, že hovorí s vlastným serverom s platným bezpečnostným certifikátom. Ale to bola jednoznačne chyba - je to úplne chyba spoločnosti Apple, dodal Tabini.
Aktualizácia 3 : Spoločnosť Apple vydala a krátke vyjadrenie k Slučka uznávajúc, že si je vedomý problému, a že ho vyšetruje.
Bezpečnosť App Store je pre nás a komunitu vývojárov neuveriteľne dôležitá, Natalie Harrison pre The Loop. Hlásenia o podvodných aktivitách berieme veľmi vážne a vyšetrujeme ich.
Populárne Príspevky