Като отбелязано от 9to5Mac , руски хакер е разработил сравнително прост метод, който позволява на потребителите да заобикалят механизма за покупка в приложението на Apple в много приложения за iOS, което позволява на потребителите да получат съдържанието безплатно.
Алтернативен бутон за потвърждение на покупка в приложение, който се вижда на хакнати устройства
Методът, който не изисква джейлбрейк, включва инсталиране на двойка сертификати на устройството на потребителя и след това използване на персонализиран DNS запис. След това потребителите могат да извършват покупки в приложението както обикновено и автоматично да бъдат пренасочени през хакната система.
Освен очевидното въздействие, че хакът включва кражба на съдържание от разработчиците, методът крие и рискове за тези, които използват хака, тъй като част от тяхната собствена информация се предава на сървърите на хакера по време на процеса на закупуване. Поради и двете причини, потребителите силно се препоръчват да не следват метода.
работи ли ябълков молив с iphone
Хакерът вече е изгонен от първоначалния си хост и според съобщенията се е преместил в нов, но в момента сайтът не работи. Не е ясно дали тя не е просто поради големия трафик или се предприемат други стъпки, за да се възпрепятства дейността му.
Разработчиците могат да попречат на хака да работи с техните приложения, като внедрят валидиране на разписки за покупка в приложение, нещо, което много разработчици не са включили в своите приложения.
Актуализация : Следващата мрежа разглежда по-отблизо по метода, разработен от Алексей Бородин, който всъщност не може да бъде предотвратен просто чрез валидиране на разписка.
Всички нужди на услугата на Бородин са единична дарена разписка, която след това може да използва за удостоверяване на нечии заявки за покупка. Много от тези разписки са дарени от самия Бородин, който е похарчил няколкостотин долара за тестване на покупки в приложението и генериране на разписки. [...]
Тъй като байпасът емулира сървъра за проверка на разписката в App Store, приложението го третира като официална комуникация, точка.
t mobile mlb at bat 2017
Решаването на проблема в крайна сметка ще изисква промени от Apple, които биха могли да подобрят API, използван за покупки в приложение, за да осигури уникално подписани разписки, които не могат да бъдат дублирани масово, както при услугата на Borodin.
Следващата мрежа също интервюира Бородин, който отбеляза, че е предал работата на сайта на трета страна, за да избегне проблеми и ще изтрие всяка информация, която е получил от управлението на операцията. Според Бородин, над 30 000 транзакции в приложението са били направени чрез неговата услуга и той е събрал само ,78 от дарения на PayPal, за да помогне за разходите си.
Актуализация 2 : Macworld също разговаря с Бородин , който отбеляза, че наистина може да види имената и паролите на акаунти в App Store на потребителите, тъй като те се предават в ясен текст като част от процеса на покупка в приложението.
Мога да видя Apple ID и парола за акаунти, които опитват хака, каза Бородин пред Macworld. Но не и информацията за кредитната карта. Бородин каза, че е шокиран, че паролите са били предавани в обикновен текст, а не криптирани.
Според [разработчика Марко] Табини обаче Apple предполага, че разговаря със собствения си сървър с валиден сертификат за сигурност. Но това очевидно беше грешка - това е изцяло по вина на Apple, добави Табини.
Актуализация 3 : Apple издаде a кратко изявление до Примката потвърждавайки, че е наясно с проблема и го проучва.
Сигурността на App Store е изключително важна за нас и общността на разработчиците, Натали Харисън, каза пред The Loop. Ние приемаме сигналите за измамни действия много сериозно и разследваме.
Популярни Публикации