Sebagai dicatat oleh 9to5Mac , seorang peretas Rusia telah mengembangkan metode yang relatif sederhana untuk memungkinkan pengguna melewati mekanisme Pembelian Dalam Aplikasi Apple di banyak aplikasi iOS, yang memungkinkan pengguna memperoleh konten secara gratis.
Tombol konfirmasi Pembelian Dalam Aplikasi Alternatif terlihat di perangkat yang diretas
Metodenya, yang tidak memerlukan jailbreaking, melibatkan pemasangan sepasang sertifikat pada perangkat pengguna dan kemudian menggunakan entri DNS khusus. Pengguna kemudian dapat melakukan pembelian dalam aplikasi seperti biasa dan secara otomatis dialihkan melalui sistem yang diretas.
Selain dampak nyata bahwa peretasan melibatkan pencurian konten dari pengembang, metode ini juga menimbulkan risiko bagi mereka yang menggunakan peretasan, karena beberapa informasi mereka sendiri dikirimkan ke server peretas selama proses pembelian. Untuk kedua alasan tersebut, pengguna sangat disarankan untuk tidak mengikuti metode ini.
apakah Anda memerlukan id apel untuk menggunakan iphone?
Peretas telah diusir dari host aslinya dan dilaporkan telah pindah ke yang baru, tetapi situs tersebut saat ini sedang down. Tidak jelas apakah itu turun hanya karena lalu lintas yang tinggi atau jika ada langkah lain yang diambil untuk menghambat aktivitasnya.
Pengembang dapat mencegah peretasan bekerja dengan aplikasi mereka dengan menerapkan validasi tanda terima Pembelian Dalam Aplikasi, sesuatu yang tidak disertakan oleh banyak pengembang dalam aplikasi mereka.
Memperbarui : Web Berikutnya melihat lebih dekat pada metode yang dikembangkan oleh Alexey Borodin, yang sebenarnya tidak dapat dicegah hanya dengan menggunakan validasi tanda terima.
Semua kebutuhan layanan Borodin adalah satu tanda terima sumbangan, yang kemudian dapat digunakan untuk mengautentikasi permintaan pembelian siapa pun. Banyak dari tanda terima tersebut telah disumbangkan oleh Borodin sendiri, yang telah menghabiskan beberapa ratus dolar untuk pengujian pembelian dalam aplikasi dan menghasilkan tanda terima. [...]
Karena bypass mengemulasi server verifikasi tanda terima di App Store, aplikasi memperlakukannya sebagai komunikasi resmi, titik.
ipad pro tidak mau mati
Mengatasi masalah pada akhirnya akan memerlukan perubahan oleh Apple, yang dapat meningkatkan API yang digunakan untuk Pembelian Dalam Aplikasi untuk menyediakan tanda terima yang ditandatangani secara unik yang tidak dapat diduplikasi secara massal seperti pada layanan Borodin.
Web Berikutnya juga mewawancarai Borodin, yang mencatat bahwa dia telah menyerahkan pengoperasian situs kepada pihak ketiga untuk menghindari masalah dan akan menghapus informasi apa pun yang diperolehnya dari menjalankan operasi tersebut. Menurut Borodin, lebih dari 30.000 transaksi dalam aplikasi dilakukan melalui layanannya, dan dia hanya mendapatkan ,78 dalam donasi PayPal untuk membantu biayanya.
Perbarui 2 : dunia mac juga mengobrol dengan Borodin , yang mencatat bahwa dia memang dapat melihat nama dan kata sandi akun App Store pengguna, karena ditransmisikan dalam teks yang jelas sebagai bagian dari proses Pembelian Dalam Aplikasi.
Saya dapat melihat ID Apple dan kata sandi, untuk akun yang mencoba meretas, kata Borodin kepada Macworld. Tapi bukan informasi kartu kredit. Borodin mengatakan bahwa dia terkejut bahwa kata sandi dilewatkan dalam teks biasa dan tidak dienkripsi.
Namun, menurut [pengembang Marco] Tabini, Apple menganggap itu berbicara ke servernya sendiri dengan sertifikat keamanan yang valid. Tapi itu jelas kesalahan—Ini sepenuhnya kesalahan Apple, tambah Tabini.
Perbarui 3 : Apple telah mengeluarkan pernyataan singkat untuk Putaran mengakui bahwa ia mengetahui dan menyelidiki masalah tersebut.
Keamanan App Store sangat penting bagi kami dan komunitas pengembang, Natalie Harrison, mengatakan kepada The Loop. Kami menanggapi laporan aktivitas penipuan dengan sangat serius dan kami sedang menyelidikinya.
Pesan Populer