Como percebido por 9to5Mac , um hacker russo desenvolveu um método relativamente simples para permitir aos usuários contornar o mecanismo de compra no aplicativo da Apple em muitos aplicativos iOS, permitindo que os usuários obtenham o conteúdo gratuitamente.
Botão alternativo de confirmação de compra no aplicativo visto em dispositivos hackeados
O método, que não requer desbloqueio, envolve a instalação de um par de certificados no dispositivo do usuário e o uso de uma entrada DNS personalizada. Os usuários podem, então, realizar compras no aplicativo como de costume e ser redirecionados automaticamente através do sistema hackeado.
Além do impacto óbvio de que o hack envolve o roubo de conteúdo de desenvolvedores, o método também apresenta riscos para quem usa o hack, já que algumas de suas próprias informações são transmitidas aos servidores do hacker durante o processo de compra. Por ambas as razões, os usuários são fortemente aconselhados a não seguir o método.
quais lojas aceitam apple pay perto de mim
O hacker já foi removido de seu host original e teria mudado para um novo, mas o site está fora do ar. Não está claro se ele está para baixo simplesmente devido ao tráfego intenso ou se outras medidas estão sendo tomadas para atrapalhar suas atividades.
Os desenvolvedores podem evitar que o hack funcione com seus aplicativos implementando a validação de recibos de compra no aplicativo, algo que muitos desenvolvedores não incluíram em seus aplicativos.
Atualizar : The Next Web dá uma olhada mais de perto no método desenvolvido por Alexey Borodin, que na verdade não pode ser evitado simplesmente com o emprego da validação de recibo.
Tudo o que o serviço do Borodin precisa é um único recibo doado, que pode ser usado para autenticar as solicitações de compra de qualquer pessoa. Muitos desses recibos foram doados pelo próprio Borodin, que gastou várias centenas de dólares em testes de compras no aplicativo e geração de recibos. [...]
Como o bypass emula o servidor de verificação de recebimento na App Store, o aplicativo o trata como uma comunicação oficial, ponto final.
como mudar o nome no macbook air
Resolver o problema exigirá, em última análise, alterações por parte da Apple, o que poderia aprimorar a API usada para compras no aplicativo para fornecer recibos assinados exclusivamente que não poderiam ser duplicados em massa como com o serviço do Borodin.
The Next Web também entrevistou Borodin, que observou que entregou a operação do site a um terceiro para evitar problemas e excluirá todas as informações que obteve durante a operação. De acordo com Borodin, mais de 30.000 transações no aplicativo foram feitas por meio de seu serviço, e ele arrecadou apenas $ 6,78 em doações do PayPal para ajudar com seus custos.
Atualização 2 : Macworld também conversou com Borodin , que observou que pode realmente ver os nomes e senhas das contas dos usuários na App Store, visto que são transmitidos em texto não criptografado como parte do processo de compra no aplicativo.
Posso ver o ID da Apple e a senha para contas que tentam o hack, Borodin disse à Macworld. Mas não as informações do cartão de crédito. Borodin disse que ficou chocado com o fato de as senhas serem passadas em texto simples e não criptografadas.
De acordo com o [desenvolvedor Marco] Tabini, porém, a Apple presume que está falando com seu próprio servidor com um certificado de segurança válido. Mas isso foi claramente um erro - isso é inteiramente culpa da Apple, acrescentou Tabini.
Atualização 3 : A Apple emitiu um breve declaração para O laço reconhecendo que está ciente e investigando o problema.
A segurança da App Store é extremamente importante para nós e para a comunidade de desenvolvedores, Natalie Harrison, disse ao The Loop. Levamos as denúncias de atividades fraudulentas muito a sério e estamos investigando.
Publicações Populares