روند خرید درون برنامه ای اپل توسط هکر روسی دور زده شد

Tiffany Garrett

ویدئو به دلیل ادعای حق چاپ از طرف اپل حذف شد

امروز نکات نگران کننده ای دریافت کردیم مبنی بر اینکه یک توسعه دهنده روسی روشی را برای به دست آوردن خریدهای درون برنامه ای از برنامه های iOS به صورت رایگان منتشر کرده است. اولین مورد توجه قرار گرفت وبلاگ روسی i-ekb.ru ، روش 'پروکسی درون برنامه' به فرار از زندان نیازی ندارد ، تازه کارها در سه مرحله فقط با استفاده از یک دستگاه iOS می توانند تکمیل شوند و به کاربران اجازه می دهد محتوای درون برنامه ای را به صورت رایگان نصب کنند. این هک همچنین در تمام دستگاه های دارای iOS 3.0 تا 6.0 کار می کند. ما تأیید کردیم که روش کار می کند (حداقل به طور موقت) ، و دستورالعمل های منتشر شده شروع به جلب توجه می کنند ، بنابراین تصمیم گرفتیم این داستان را به عنوان یک هشدار به انجمن توسعه دهندگان اپل منتشر کنیم.

به نظر می رسد این هک از طرف توسعه دهنده روسی آمده است ZonD80 که تظاهرات ویدیویی فوق را ارسال کرد. همچنین به نظر می رسد ZonD80 وب سایتی را با نام در-AppStore.com ، جایی که کمک های مالی برای حمایت از توسعه پروژه و کمک به ادامه کار سرورها پذیرفته می شود. توسعه دهنده سه مرحله هک را که شامل نصب گواهی CA ، نصب گواهی in-appstore.com و تغییر رکورد DNS در تنظیمات Wi-Fi است ، توضیح داد. پس از مراحل سریع ، در هنگام نصب خریدهای درون برنامه ای ، پیام مخالف با گفتگوی تأیید خرید معمول اپل ، با پیغام تصویر بالا در اختیار کاربران قرار می گیرد. این واقعیت که از این هک برای سرقت محتوای خرید درون برنامه ای استفاده می شود ، شاید به همان اندازه شرایط سرویس دهنده نگران کننده باشد. در زیر لیستی از داده های پردازش شده از طریق سرورهای devs به عنوان بخشی از فرآیند آورده شده است (اما باز هم از خوانندگان درخواست می کنیم این کار را امتحان نکنند):



نحوه افزودن کارت هدیه itunes به حساب itunes

سطح محدودیت برنامه

-id برنامه

-id نسخه

راهنمای ایده شما

مقدار خرید درون برنامه ای

نام خرید داخل برنامه را ارائه دهید

زبانی که استفاده می کنید

شناسه برنامه

وارونه برنامه

- محلی شما

این روش به کاربران امکان نمی دهد از 100 درصد برنامه ها محتوا را نصب کنند ، زیرا برخی از کاربران این روش را برای برخی خریدهای درون برنامه ای در مناطق خاص ناموفق می دانند. این البته چیزی نیست که ما آن را تأیید کنیم. علی رغم هشدارهای توسعه دهنده ، لطفاً 'برنامه های AppStore را دزد دریایی نکنید' ادامه داد برای کمک به کاربران هک که گزارش می دهند با برنامه های خاصی کار نمی کند. امیدوارم که اپل و انجمن توسعه دهندگان بتوانند قبل از بارگیری غیرقانونی محتوای زیاد ، این شخص را تعطیل کنند.

به روز رسانی: مفسران اشاره شد که اپل روشی را برای توسعه دهندگان فراهم می کند رسیدهای خریدهای درون برنامه را تأیید کنید . به همین دلیل است که هک شرح داده شده در بالا با برخی از برنامه ها کار نمی کند و چیزی است که تمام برنامه های سازنده IAP باید از آن استفاده کنند.

بروزرسانی 2: TNW صحبت کرد Alexey V. Borodin ، توسعه دهنده هک ، که ادعا کرد برنامه ها با استفاده از روش تأیید اعتبار رسیدهای ذکر شده در بالا توسط اپل ایمن نیستند. به گفته بورودین ، ​​فقط توسعه دهندگانی که از سرورهای خود برای بررسی خریدهای درون برنامه ای استفاده می کنند ، می توانند از این هک طفره روند.

بروزرسانی 3: اپل دارد پاسخ داد حلقه در مورد وضعیت با عبارت زیر:

ناتالی هریسون ، نماینده اپل ، به The Loop گفت: 'امنیت فروشگاه App برای ما و جامعه توسعه دهنده فوق العاده مهم است.' 'ما گزارش فعالیت های کلاهبرداری را بسیار جدی می گیریم و در حال بررسی هستیم.'

  • اپل به توسعه دهندگان می گوید شروع به ارسال برنامه های OS X Mountain Lion خود (9to5mac.com)
00

FTC: ما از پیوندهای وابسته خودکار با درآمد کسب می کنیم. بیشتر.