Como Notado por 9to5Mac , un hacker ruso ha desarrollado un método relativamente simple para permitir a los usuarios eludir el mecanismo de compra en la aplicación de Apple en muchas aplicaciones de iOS, lo que permite a los usuarios obtener el contenido de forma gratuita.
Botón de confirmación de compra en la aplicación alternativo visto en dispositivos pirateados
El método, que no requiere jailbreak, implica instalar un par de certificados en el dispositivo del usuario y luego usar una entrada DNS personalizada. Los usuarios pueden realizar compras en la aplicación como de costumbre y ser redirigidos automáticamente a través del sistema pirateado.
Aparte del impacto obvio de que el pirateo implica el robo de contenido de los desarrolladores, el método también presenta riesgos para quienes lo utilizan, ya que parte de su propia información se transmite a los servidores del pirata informático durante el proceso de compra. Por ambas razones, se recomienda encarecidamente a los usuarios que no utilicen el método.
cómo eliminar la caché en el iphone
El pirata informático ya ha sido desalojado de su host original y, según los informes, se había mudado a uno nuevo, pero el sitio está actualmente inactivo. No está claro si está inactivo simplemente debido al alto tráfico o si se están tomando otras medidas para obstaculizar sus actividades.
Los desarrolladores pueden evitar que el truco funcione con sus aplicaciones mediante la implementación de la validación de los recibos de compra en la aplicación, algo que muchos desarrolladores no han incluido en sus aplicaciones.
Actualizar : La próxima web echa un vistazo más de cerca en el método desarrollado por Alexey Borodin, que en realidad no se puede prevenir simplemente empleando la validación de recibos.
Todas las necesidades de servicio de Borodin son un solo recibo donado, que luego puede usar para autenticar las solicitudes de compra de cualquier persona. Muchos de esos recibos han sido donados por el propio Borodin, que ha gastado varios cientos de dólares en pruebas de compras dentro de la aplicación y generación de recibos. [...]
Debido a que el bypass emula el servidor de verificación de recibos en la App Store, la aplicación lo trata como una comunicación oficial, punto.
cómo activar el seguimiento de aplicaciones en el iphone
En última instancia, abordar el problema requerirá cambios por parte de Apple, lo que podría mejorar la API utilizada para las compras dentro de la aplicación para proporcionar recibos firmados de manera única que no se pueden duplicar de forma masiva como con el servicio de Borodin.
La próxima web También entrevistó a Borodin, quien señaló que entregó la operación del sitio a un tercero para evitar problemas y eliminará cualquier información que haya obtenido al ejecutar la operación. Según Borodin, se realizaron más de 30,000 transacciones dentro de la aplicación a través de su servicio, y obtuvo solo $ 6.78 en donaciones de PayPal para ayudarlo con sus costos.
Actualización 2 : Macworld también charló con Borodin , quien señaló que de hecho puede ver los nombres y contraseñas de las cuentas de la App Store de los usuarios, ya que se transmiten en texto sin cifrar como parte del proceso de compra en la aplicación.
Puedo ver el ID de Apple y la contraseña de las cuentas que intentan el truco, le dijo Borodin a Macworld. Pero no la información de la tarjeta de crédito. Borodin dijo que le sorprendió que las contraseñas se pasaran en texto plano y no encriptadas.
Sin embargo, según [el desarrollador Marco] Tabini, Apple supone que está hablando con su propio servidor con un certificado de seguridad válido. Pero eso fue claramente un error, esto es completamente culpa de Apple, agregó Tabini.
Actualización 3 : Apple ha emitido un breve declaración a El lazo reconociendo que tiene conocimiento e investigando el problema.
La seguridad de la App Store es increíblemente importante para nosotros y la comunidad de desarrolladores, Natalie Harrison, dijo a The Loop. Nos tomamos muy en serio las denuncias de actividades fraudulentas y las estamos investigando.
Entradas Populares