כפי ש נרשם על ידי 9to5Mac , האקר רוסי פיתח שיטה פשוטה יחסית כדי לאפשר למשתמשים לעקוף את מנגנון רכישת האפליקציות של אפל באפליקציות iOS רבות, מה שמאפשר למשתמשים להשיג את התוכן בחינם.
לחצן אישור רכישה חלופי באפליקציה נראה במכשירים שנפרצו
השיטה, שאינה מצריכה פריצת jailbreak, כוללת התקנת זוג אישורים במכשיר של המשתמש ולאחר מכן שימוש ב-DNS מותאם אישית. לאחר מכן, המשתמשים יכולים לבצע רכישות בתוך האפליקציה כרגיל ולהפנות אותם אוטומטית דרך המערכת שנפרצה.
מלבד ההשפעה הברורה שהפריצה כרוכה בגניבת תוכן ממפתחים, השיטה מהווה סיכונים גם למי שמשתמש בפריצה, שכן חלק מהמידע שלהם מועבר לשרתי ההאקר במהלך תהליך הרכישה. משתי הסיבות הללו, מומלץ מאוד למשתמשים לא להמשיך בשיטה.
ייבא רשימת השמעה של Spotify ל-Apple Music
ההאקר כבר הודח מהמארח המקורי שלו ולפי הדיווחים עבר למארח חדש, אך האתר מושבת כעת. לא ברור אם הוא מושבת רק בגלל עומס תנועה גבוה או שננקטים צעדים אחרים כדי להפריע לפעילותו.
מפתחים יכולים למנוע מהפריצה לעבוד עם האפליקציות שלהם על ידי יישום אימות של קבלות על רכישת אפליקציה, דבר שמפתחים רבים לא כללו באפליקציות שלהם.
עדכון : האינטרנט הבא מסתכל מקרוב בשיטה שפותחה על ידי אלכסיי בורודין, שלמעשה לא ניתן למנוע אותה רק על ידי שימוש באימות קבלה.
כל מה שצורכי השירות של בורודין הוא קבלה אחת שנתרמה, שבה הוא יכול להשתמש כדי לאמת את בקשות הרכישה של כל אחד. רבות מהקבלות הללו נתרמו על ידי בורודין עצמו, שהוציא כמה מאות דולרים על בדיקות ויצירת קבלות על רכישות בתוך האפליקציה. [...]
מכיוון שהמעקף מחקה את שרת אימות הקבלה ב-App Store, האפליקציה מתייחסת אליו כאל תקשורת רשמית, נקודה.
איך לפתוח את האייפון עם iwatch
טיפול בבעיה ידרוש בסופו של דבר שינויים על ידי אפל, מה שיכול לשפר את ה-API המשמש לרכישות באפליקציה כדי לספק קבלות חתומות ייחודיות שלא ניתן יהיה לשכפל באופן המוני כמו בשירות של בורודין.
האינטרנט הבא ראיין גם את בורודין, שציין כי העביר את תפעול האתר לצד שלישי על מנת למנוע בעיות וימחק כל מידע שהשיג מהפעלת הפעולה. לפי בורודין, יותר מ-30,000 עסקאות בתוך האפליקציה בוצעו באמצעות השירות שלו, והוא הרוויח רק 6.78 דולר בתרומות PayPal כדי לסייע בעלויות שלו.
עדכון 2 : Macworld גם שוחח עם בורודין , שציין כי הוא אכן יכול לראות את שמות החשבונות והסיסמאות של המשתמשים ב-App Store, שכן הם מועברים בטקסט ברור כחלק מתהליך הרכישה באפליקציה.
אני יכול לראות את ה-Apple ID והסיסמה, עבור חשבונות שמנסים את הפריצה, אמר בורודין ל-Macworld. אבל לא את פרטי כרטיס האשראי. בורודין אמר שהוא המום מכך שסיסמאות הועברו בטקסט רגיל ולא מוצפנות.
לפי [המפתח מרקו] טביני, עם זאת, אפל מניחה שהיא מדברת עם השרת שלה עם אישור אבטחה תקף. אבל ברור שזו הייתה טעות - זו לגמרי אשמתה של אפל, הוסיף טביני.
עדכון 3 : אפל הנפיקה א הצהרה קצרה ל הלולאה הכרה בכך שהיא מודעת לסוגיה ובוחנת אותה.
האבטחה של App Store חשובה להפליא לנו ולקהילת המפתחים, נטלי הריסון, אמרה ל-The Loop. אנו מתייחסים ברצינות רבה לדיווחים על פעילות הונאה ואנחנו חוקרים.
רשום פופולרי