Sebagai diperhatikan oleh 9to5Mac , seorang penggodam Rusia telah membangunkan kaedah yang agak mudah untuk membolehkan pengguna memintas mekanisme Pembelian Dalam Apl Apple pada banyak aplikasi iOS, membolehkan pengguna mendapatkan kandungan secara percuma.
Butang pengesahan Pembelian Dalam Apl Bergantian dilihat pada peranti yang digodam
Kaedah tersebut, yang tidak memerlukan jailbreaking, melibatkan pemasangan sepasang sijil pada peranti pengguna dan kemudian menggunakan entri DNS tersuai. Pengguna kemudiannya boleh melakukan pembelian dalam apl seperti biasa dan diubah hala secara automatik melalui sistem yang digodam.
Selain daripada kesan yang jelas bahawa penggodaman melibatkan kecurian kandungan daripada pembangun, kaedah itu juga menimbulkan risiko kepada mereka yang menggunakan penggodaman, kerana beberapa maklumat mereka sendiri dihantar ke pelayan penggodam semasa proses pembelian. Atas kedua-dua sebab tersebut, pengguna amat dinasihatkan untuk tidak meneruskan kaedah tersebut.
bagaimana untuk menambah muzik anda sendiri ke muzik epal
Penggodam itu telah pun diusir dari hos asalnya dan dilaporkan telah berpindah ke hos baharu, tetapi laman web itu sedang tidak berfungsi. Tidak dapat dipastikan sama ada ia terhenti kerana trafik yang tinggi atau langkah lain sedang diambil untuk menghalang aktivitinya.
Pembangun boleh menghalang penggodaman daripada berfungsi dengan apl mereka dengan melaksanakan pengesahan resit Pembelian Dalam Apl, sesuatu yang tidak disertakan oleh ramai pembangun dalam apl mereka.
Kemas kini : Web Seterusnya melihat dengan lebih dekat pada kaedah yang dibangunkan oleh Alexey Borodin, yang sebenarnya tidak boleh dihalang hanya dengan menggunakan pengesahan resit.
Semua keperluan perkhidmatan Borodin ialah satu resit yang didermakan, yang kemudiannya boleh digunakan untuk mengesahkan permintaan pembelian sesiapa sahaja. Banyak daripada resit tersebut telah disumbangkan oleh Borodin sendiri, yang telah membelanjakan beberapa ratus dolar untuk ujian pembelian dalam apl dan menjana resit. [...]
Oleh kerana pintasan itu meniru pelayan pengesahan resit di App Store, apl itu menganggapnya sebagai komunikasi rasmi, tempoh.
bagaimana untuk mencari airpod apabila ia berada dalam kes itu
Menangani isu ini akhirnya akan memerlukan perubahan oleh Apple, yang boleh meningkatkan API yang digunakan untuk Pembelian Dalam Apl untuk menyediakan resit yang ditandatangani secara unik yang tidak boleh diduplikasi secara besar-besaran seperti perkhidmatan Borodin.
Web Seterusnya turut menemu bual Borodin, yang menyatakan bahawa dia telah menyerahkan operasi tapak kepada pihak ketiga untuk mengelakkan masalah dan akan memadamkan sebarang maklumat yang diperolehnya daripada menjalankan operasi itu. Menurut Borodin, lebih 30,000 transaksi dalam apl telah dibuat melalui perkhidmatannya, dan dia memperoleh hanya .78 dalam derma PayPal untuk membantu kosnya.
Kemas kini 2 : Macworld juga berbual dengan Borodin , yang menyatakan bahawa dia sememangnya boleh melihat nama dan kata laluan akaun App Store pengguna, kerana ia dihantar dalam teks yang jelas sebagai sebahagian daripada proses Pembelian Dalam Apl.
Saya dapat melihat ID Apple dan kata laluan, untuk akaun yang mencuba penggodaman, Borodin memberitahu Macworld. Tetapi bukan maklumat kad kredit. Borodin berkata bahawa dia terkejut bahawa kata laluan dihantar dalam teks biasa dan tidak disulitkan.
Menurut [pembangun Marco] Tabini, bagaimanapun, Apple menganggap ia bercakap dengan pelayannya sendiri dengan sijil keselamatan yang sah. Tetapi itu jelas satu kesilapan—Ini adalah kesalahan Apple sepenuhnya, tambah Tabini.
Kemas kini 3 : Apple telah mengeluarkan a kenyataan ringkas kepada Gelung mengakui bahawa ia menyedari dan menyiasat isu tersebut.
Keselamatan App Store adalah sangat penting bagi kami dan komuniti pembangun, Natalie Harrison, memberitahu The Loop. Kami mengambil laporan aktiviti penipuan dengan sangat serius dan kami sedang menyiasat.
Jawatan Popular