Olarak tarafından not edildi 9to5Mac , bir Rus bilgisayar korsanı, kullanıcıların birçok iOS uygulamasında Apple'ın Uygulama İçi Satın Alma mekanizmasını atlamasına izin vermek için nispeten basit bir yöntem geliştirdi ve kullanıcıların içeriği ücretsiz olarak almasına izin verdi.
Saldırıya uğramış cihazlarda görülen Alternatif Uygulama İçi Satın Alma onay düğmesi
Jailbreak gerektirmeyen yöntem, kullanıcının cihazına bir çift sertifika yüklemeyi ve ardından özel bir DNS girişi kullanmayı içerir. Kullanıcılar daha sonra uygulama içi satın alma işlemlerini her zamanki gibi gerçekleştirebilir ve saldırıya uğramış sistem üzerinden otomatik olarak yönlendirilebilir.
Hack'in geliştiricilerden içerik çalınmasını içermesinin bariz etkisinin yanı sıra, bu yöntem aynı zamanda hack'i kullananlar için de risk oluşturuyor çünkü satın alma işlemi sırasında kendi bilgilerinin bir kısmı hacker'ın sunucularına iletiliyor. Bu iki nedenden dolayı, kullanıcıların yöntemi takip etmemeleri şiddetle tavsiye edilir.
iphone se fabrika ayarlarına nasıl sıfırlanır
Bilgisayar korsanı, orijinal ana bilgisayarından çoktan tahliye edildi ve bildirildiğine göre yenisine taşındı, ancak site şu anda kapalı. Sadece yüksek trafik nedeniyle mi yoksa faaliyetlerini engellemek için başka adımlar mı atıldığı belli değil.
Geliştiriciler, birçok geliştiricinin uygulamalarına dahil etmediği Uygulama İçi Satın Alma makbuzlarının doğrulamasını uygulayarak hack'lerin uygulamalarıyla çalışmasını önleyebilir.
Güncelleme : Sonraki Web daha yakından bakar Alexey Borodin tarafından geliştirilen ve aslında sadece makbuz doğrulaması kullanılarak engellenemeyen yöntemde.
Borodin'in tüm hizmet ihtiyaçları, daha sonra herhangi birinin satın alma isteklerini doğrulamak için kullanabileceği bağışlanmış tek bir makbuzdur. Bu makbuzların çoğu, uygulama içi satın almaları test etmek ve makbuz oluşturmak için birkaç yüz dolar harcayan Borodin'in kendisi tarafından bağışlandı. [...]
Baypas, App Store'daki makbuz doğrulama sunucusunu taklit ettiğinden, uygulama bunu resmi bir iletişim olarak değerlendirir, nokta.
iphone 12 pro elma şarj kutusu
Sorunun ele alınması, nihai olarak Apple tarafından, Borodin'in hizmetinde olduğu gibi toplu olarak çoğaltılamayan benzersiz imzalı makbuzlar sağlamak üzere Uygulama İçi Satın Almalar için kullanılan API'yi geliştirebilecek değişiklikler gerektirecektir.
Sonraki Web Borodin, sorun çıkmaması için sitenin işleyişini üçüncü bir kişiye devrettiğini ve işletmeden edindiği bilgileri sileceğini de kaydetti. Borodin'e göre, hizmeti aracılığıyla 30.000'den fazla uygulama içi işlem yapıldı ve masraflarına yardımcı olmak için PayPal bağışlarında yalnızca 6,78 ABD doları kazandı.
Güncelleme 2 : Macworld Borodin ile de sohbet etti , Uygulama İçi Satın Alma sürecinin bir parçası olarak açık metin olarak iletildiği için kullanıcıların App Store hesap adlarını ve şifrelerini gerçekten görebildiğini kaydetti.
Borodin, Macworld'e verdiği demeçte, hack'i deneyen hesaplar için Apple kimliğini ve şifresini görebiliyorum. Ama kredi kartı bilgileri değil. Borodin, şifrelerin şifrelenmemiş düz metin olarak iletilmesinin şok olduğunu söyledi.
[Geliştirici Marco] Tabini'ye göre Apple, geçerli bir güvenlik sertifikasına sahip kendi sunucusuyla konuştuğunu varsayıyor. Ama bu açıkça bir hataydı - Bu tamamen Apple'ın hatası, diye ekledi Tabini.
Güncelleme 3 : Apple bir yayınladı kısa açıklama Döngü konunun farkında olduğunu kabul eder ve araştırır.
App Store'un güvenliği bizim için inanılmaz derecede önemli ve geliştirici topluluğu Natalie Harrison The Loop'a söyledi. Hileli faaliyet raporlarını çok ciddiye alıyoruz ve araştırıyoruz.
Popüler Mesajlar