เนื่องจาก ตั้งข้อสังเกตโดย 9to5Mac แฮ็กเกอร์ชาวรัสเซียได้พัฒนาวิธีการที่ค่อนข้างง่ายเพื่อให้ผู้ใช้สามารถเลี่ยงกลไกการซื้อในแอปของ Apple บนแอป iOS จำนวนมากได้ ทำให้ผู้ใช้สามารถรับเนื้อหาได้ฟรี
ปุ่มยืนยันการซื้อในแอปสำรองที่เห็นบนอุปกรณ์ที่ถูกแฮ็ก
วิธีการซึ่งไม่ต้องเจลเบรกนั้นเกี่ยวข้องกับการติดตั้งใบรับรองคู่หนึ่งบนอุปกรณ์ของผู้ใช้แล้วใช้รายการ DNS ที่กำหนดเอง ผู้ใช้สามารถทำการซื้อในแอปได้ตามปกติและจะถูกเปลี่ยนเส้นทางโดยอัตโนมัติผ่านระบบที่ถูกแฮ็ก
นอกเหนือจากผลกระทบที่ชัดเจนว่าการแฮ็กเกี่ยวข้องกับการขโมยเนื้อหาจากนักพัฒนา วิธีการนี้ยังก่อให้เกิดความเสี่ยงต่อผู้ที่ใช้แฮ็ค เนื่องจากข้อมูลบางส่วนของพวกเขาจะถูกส่งไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์ในระหว่างกระบวนการจัดซื้อ ด้วยเหตุผลทั้งสองประการ ผู้ใช้จึงไม่ควรทำตามวิธีการนี้
สองหน้าบน apple watch หมายความว่ายังไง
แฮ็กเกอร์รายนี้ถูกไล่ออกจากโฮสต์เดิมแล้วและมีรายงานว่าย้ายไปที่ใหม่ แต่ไซต์ปิดให้บริการอยู่ในขณะนี้ ไม่ชัดเจนว่าจะหยุดลงเพียงเพราะการจราจรหนาแน่นหรือหากมีการดำเนินการขั้นตอนอื่นเพื่อขัดขวางกิจกรรมของเขา
นักพัฒนาสามารถป้องกันไม่ให้แฮ็คทำงานกับแอปของตนได้โดยใช้การตรวจสอบใบเสร็จของ In App Purchase ซึ่งเป็นสิ่งที่นักพัฒนาหลายคนไม่ได้รวมไว้ในแอปของตน
อัปเดต : เว็บต่อไป พินิจพิเคราะห์ดู ด้วยวิธีที่พัฒนาโดย Alexey Borodin ซึ่งจริง ๆ แล้วไม่สามารถป้องกันได้เพียงแค่ใช้การตรวจสอบใบเสร็จ
ความต้องการบริการทั้งหมดของ Borodin คือใบเสร็จรับเงินบริจาคเพียงใบเดียว ซึ่งสามารถใช้เพื่อยืนยันคำขอซื้อของใครก็ได้ ใบเสร็จรับเงินจำนวนมากได้รับการบริจาคโดย Borodin เองซึ่งใช้เงินหลายร้อยดอลลาร์ในการทดสอบการซื้อในแอปและสร้างใบเสร็จรับเงิน [... ]
เนื่องจากบายพาสเลียนแบบเซิร์ฟเวอร์การตรวจสอบใบเสร็จใน App Store แอปจึงถือเป็นการสื่อสารอย่างเป็นทางการ
ฉันจะถอนการติดตั้งแอพบน mac ของฉันได้อย่างไร
การแก้ไขปัญหาในท้ายที่สุดจะต้องมีการเปลี่ยนแปลงโดย Apple ซึ่งสามารถปรับปรุง API ที่ใช้สำหรับการซื้อในแอปเพื่อจัดเตรียมใบเสร็จที่ลงนามโดยเฉพาะซึ่งไม่สามารถทำซ้ำได้ในปริมาณมากเช่นเดียวกับบริการของ Borodin
เว็บต่อไป นอกจากนี้ โบโรดินยังสัมภาษณ์ด้วย ซึ่งตั้งข้อสังเกตว่าเขาได้เปลี่ยนการดำเนินงานของไซต์ให้บุคคลที่สามเพื่อหลีกเลี่ยงปัญหาและจะลบข้อมูลใด ๆ ที่เขาได้รับจากการดำเนินการ ตามข้อมูลของ Borodin มีการทำธุรกรรมในแอปมากกว่า 30,000 รายการผ่านบริการของเขา และเขาบริจาคเพียง 6.78 ดอลลาร์ใน PayPal เพื่อช่วยเหลือค่าใช้จ่ายของเขา
อัปเดต2 : Macworld ได้พูดคุยกับ Borodin ซึ่งตั้งข้อสังเกตว่าเขาสามารถเห็นชื่อบัญชีและรหัสผ่านของบัญชี App Store ของผู้ใช้ได้จริง เนื่องจากมีการส่งเป็นข้อความที่ชัดเจนซึ่งเป็นส่วนหนึ่งของกระบวนการซื้อในแอป
ฉันสามารถดู Apple ID และรหัสผ่านสำหรับบัญชีที่ลองแฮ็คได้ Borodin บอกกับ Macworld แต่ไม่ใช่ข้อมูลบัตรเครดิต Borodin กล่าวว่าเขาตกใจที่รหัสผ่านถูกส่งผ่านเป็นข้อความธรรมดาและไม่ได้เข้ารหัส
ตามที่ [นักพัฒนา Marco] Tabini แม้ว่า Apple สันนิษฐานว่ากำลังพูดคุยกับเซิร์ฟเวอร์ของตัวเองพร้อมใบรับรองความปลอดภัยที่ถูกต้อง แต่นั่นเป็นความผิดพลาดอย่างชัดเจน—นี่เป็นความผิดของ Apple ทั้งหมด Tabini กล่าวเสริม
อัปเดต3 : Apple ได้ออก คำสั้นๆ ถึง The Loop รับทราบและสอบสวนปัญหาแล้ว
ความปลอดภัยของ App Store มีความสำคัญอย่างยิ่งต่อเราและชุมชนนักพัฒนา Natalie Harrison กล่าวกับ The Loop เราให้ความสำคัญกับรายงานกิจกรรมที่เป็นการฉ้อโกงอย่างจริงจัง และเรากำลังตรวจสอบอยู่
โพสต์ยอดนิยม