Come notato da 9to5Mac , un hacker russo ha sviluppato un metodo relativamente semplice per consentire agli utenti di aggirare il meccanismo di acquisto in app di Apple su molte app iOS, consentendo agli utenti di ottenere il contenuto gratuitamente.
Pulsante alternativo di conferma dell'acquisto nell'app visualizzato sui dispositivi compromessi
Il metodo, che non richiede il jailbreak, prevede l'installazione di una coppia di certificati sul dispositivo dell'utente e l'utilizzo di una voce DNS personalizzata. Gli utenti possono quindi effettuare acquisti in-app come al solito ed essere reindirizzati automaticamente attraverso il sistema compromesso.
A parte l'ovvio impatto che l'hack comporta il furto di contenuti da parte degli sviluppatori, il metodo comporta anche dei rischi per coloro che utilizzano l'hack, poiché alcune delle proprie informazioni vengono trasmesse ai server dell'hacker durante il processo di acquisto. Per entrambi questi motivi, si consiglia vivamente agli utenti di non perseguire il metodo.
ci sarà un nuovo iphone?
L'hacker è già stato sfrattato dal suo host originale e secondo quanto riferito si è trasferito in uno nuovo, ma il sito è attualmente inattivo. Non è chiaro se si tratti di un down semplicemente a causa dell'elevato traffico o se sono state prese altre misure per ostacolare le sue attività.
Gli sviluppatori possono impedire all'hack di funzionare con le loro app implementando la convalida delle ricevute di acquisto in app, qualcosa che molti sviluppatori non hanno incluso nelle loro app.
Aggiornare : Il prossimo Web dà un'occhiata più da vicino al metodo sviluppato da Alexey Borodin, che in realtà non può essere impedito semplicemente utilizzando la convalida della ricevuta.
Tutto ciò di cui ha bisogno il servizio Borodin è una singola ricevuta donata, che può quindi utilizzare per autenticare le richieste di acquisto di chiunque. Molte di queste ricevute sono state donate dallo stesso Borodin, che ha speso diverse centinaia di dollari per testare gli acquisti in-app e generare ricevute. [...]
Poiché il bypass emula il server di verifica della ricevuta sull'App Store, l'app lo tratta come una comunicazione ufficiale, punto.
come sbloccare iPhone con iwatch
Affrontare il problema alla fine richiederà modifiche da parte di Apple, che potrebbero migliorare l'API utilizzata per gli acquisti in app per fornire ricevute firmate in modo univoco che non possono essere duplicate in massa come con il servizio di Borodin.
Il prossimo Web ha anche intervistato Borodin, che ha notato di aver ceduto il funzionamento del sito a terzi per evitare problemi e che cancellerà tutte le informazioni ottenute dall'esecuzione dell'operazione. Secondo Borodin, sono state effettuate oltre 30.000 transazioni in-app tramite il suo servizio e ha guadagnato solo $ 6,78 in donazioni PayPal per aiutare con i suoi costi.
Aggiornamento 2 : Macworld anche chiacchierato con Borodin , che ha notato che può effettivamente vedere i nomi degli account e le password dell'App Store degli utenti, poiché vengono trasmessi in chiaro come parte del processo di acquisto in app.
Riesco a vedere l'ID Apple e la password, per gli account che provano l'hack, ha detto Borodin a Macworld. Ma non i dati della carta di credito. Borodin ha affermato di essere rimasto scioccato dal fatto che le password siano state trasmesse in chiaro e non crittografate.
Secondo [lo sviluppatore Marco] Tabini, tuttavia, Apple presume che stia parlando con il proprio server con un certificato di sicurezza valido. Ma è stato chiaramente un errore: è tutta colpa di Apple, ha aggiunto Tabini.
Aggiornamento 3 : Apple ha rilasciato un breve dichiarazione a Il cappio riconoscendo di essere a conoscenza e indagando sul problema.
La sicurezza dell'App Store è incredibilmente importante per noi e per la comunità degli sviluppatori, ha dichiarato a The Loop Natalie Harrison. Prendiamo molto sul serio le segnalazioni di attività fraudolenta e stiamo indagando.
Messaggi Popolari