Kā atzīmēja 9-5Mac , Krievijas hakeris ir izstrādājis salīdzinoši vienkāršu metodi, kas ļauj lietotājiem apiet Apple In App Purchase mehānismu daudzās iOS lietotnēs, ļaujot lietotājiem iegūt saturu bez maksas.
Alternatīva pirkuma lietotnē apstiprinājuma poga, kas redzama uzlauztajās ierīcēs
Metode, kurai nav nepieciešama jailbreak, ietver sertifikātu pāra instalēšanu lietotāja ierīcē un pēc tam pielāgota DNS ieraksta izmantošanu. Pēc tam lietotāji var veikt pirkumus lietotnē kā parasti un tikt automātiski novirzīti caur uzlauzto sistēmu.
Papildus acīmredzamajai ietekmei, ka uzlaušana ir saistīta ar satura zādzību no izstrādātājiem, šī metode rada arī risku tiem, kas izmanto uzlaušanu, jo daļa no viņu pašu informācijas tiek pārsūtīta uz hakeru serveriem pirkuma procesa laikā. Abu šo iemeslu dēļ lietotājiem ir ļoti ieteicams neizmantot šo metodi.
kā ievietot iphone 11 dfu režīmā
Hakeris jau ir izlikts no sava sākotnējā saimnieka un, kā ziņots, bija pārcēlies uz jaunu, taču vietne pašlaik nedarbojas. Nav skaidrs, vai tas ir samazinājies tikai lielās satiksmes dēļ, vai arī tiek veikti citi pasākumi, lai kavētu viņa darbību.
Izstrādātāji var novērst uzlaušanas darbību ar viņu lietotnēm, ieviešot lietotnē pirkuma kvīšu validāciju, ko daudzi izstrādātāji savās lietotnēs nav iekļāvuši.
Atjaunināt : Nākamais tīmeklis ieskatās tuvāk pēc Alekseja Borodina izstrādātās metodes, ko faktiski nevar novērst, vienkārši izmantojot kvīšu validāciju.
Viss, kas nepieciešams Borodina pakalpojumam, ir viena ziedota kvīts, ko tas pēc tam var izmantot, lai autentificētu ikviena pirkuma pieprasījumu. Daudzas no šīm kvītīm ir ziedojis pats Borodins, kurš ir iztērējis vairākus simtus dolāru pirkumiem lietotnē, pārbaudot un ģenerējot kvītis. [...]
Tā kā apvedceļš emulē kvīšu verifikācijas serveri App Store, lietotne to uzskata par oficiālu saziņu.
kā pievienot ikonas Mac izvēlņu joslai
Problēmas risināšanai galu galā Apple būs jāveic izmaiņas, kas varētu uzlabot API, ko izmanto pirkumiem lietotnēs, lai nodrošinātu unikāli parakstītas kvītis, kuras nevarētu masveidā dublēt kā ar Borodina pakalpojumu.
Nākamais tīmeklis intervēja arī Borodinu, kurš atzīmēja, ka vietnes darbību ir nodevis trešajai pusei, lai izvairītos no nepatikšanām, un dzēsīs visu informāciju, ko viņš ieguvis, veicot operāciju. Saskaņā ar Borodina teikto, izmantojot viņa pakalpojumu, tika veikti vairāk nekā 30 000 darījumu lietotnē, un viņš maksāja tikai $ 6,78 PayPal ziedojumos, lai palīdzētu segt izmaksas.
2. atjauninājums : Macworld arī tērzēja ar Borodinu , kurš atzīmēja, ka viņš patiešām var redzēt lietotāju App Store kontu nosaukumus un paroles, jo tās tiek pārsūtītas skaidrā tekstā kā daļa no In App Purchase procesa.
Es varu redzēt Apple ID un paroli kontiem, kas mēģina uzlauzt, Borodins pastāstīja Macworld. Bet ne kredītkartes informāciju. Borodins sacīja, ka ir šokēts, ka paroles tika nodotas vienkāršā tekstā, nevis šifrētas.
Tomēr saskaņā ar [izstrādātāja Marco] Tabini teikto Apple pieņem, ka runā ar savu serveri ar derīgu drošības sertifikātu. Bet tā acīmredzami bija kļūda — tā ir pilnībā Apple vaina, piebilda Tabini.
Atjauninājums 3 : Apple ir izdevis a īss paziņojums Cilpa atzīstot, ka tā apzinās un izmeklē šo problēmu.
App Store drošība ir neticami svarīga mums un izstrādātāju kopienai, Natālija Harisone pastāstīja The Loop. Mēs ļoti nopietni uztveram ziņojumus par krāpnieciskām darbībām un veicam izmeklēšanu.
Populārākas Posts