Comme noté par 9to5Mac , un pirate informatique russe a développé une méthode relativement simple pour permettre aux utilisateurs de contourner le mécanisme d'achat intégré d'Apple sur de nombreuses applications iOS, permettant aux utilisateurs d'obtenir le contenu gratuitement.
Autre bouton de confirmation d'achat intégré visible sur les appareils piratés
La méthode, qui ne nécessite pas de jailbreak, consiste à installer une paire de certificats sur l'appareil de l'utilisateur, puis à utiliser une entrée DNS personnalisée. Les utilisateurs peuvent ensuite effectuer des achats intégrés comme d'habitude et être automatiquement redirigés via le système piraté.
Outre l'impact évident que le piratage implique le vol de contenu auprès des développeurs, la méthode présente également des risques pour ceux qui utilisent le piratage, car certaines de leurs propres informations sont transmises aux serveurs du pirate pendant le processus d'achat. Pour ces deux raisons, il est fortement déconseillé aux utilisateurs de poursuivre la méthode.
comment connecter des airpods pour trouver mon iphone
Le pirate informatique a déjà été expulsé de son hôte d'origine et aurait déménagé vers un nouveau, mais le site est actuellement en panne. On ne sait pas s'il est en panne simplement en raison d'un trafic élevé ou si d'autres mesures sont prises pour entraver ses activités.
Les développeurs peuvent empêcher le piratage de fonctionner avec leurs applications en implémentant la validation des reçus d'achat intégrés, ce que de nombreux développeurs n'ont pas inclus dans leurs applications.
Mettre à jour : Le prochain Web regarde de plus près à la méthode développée par Alexey Borodine, qui en fait ne peut pas être évitée simplement en employant la validation des reçus.
Tous les besoins de service de Borodin sont un seul reçu de don, qu'il peut ensuite utiliser pour authentifier les demandes d'achat de quiconque. Beaucoup de ces reçus ont été donnés par Borodin lui-même, qui a dépensé plusieurs centaines de dollars en achats intégrés, testant et générant des reçus. [...]
Étant donné que le contournement émule le serveur de vérification des reçus sur l'App Store, l'application le traite comme une communication officielle, point final.
quelle génération est ipad air 2020
La résolution du problème nécessitera en fin de compte des modifications de la part d'Apple, qui pourraient améliorer l'API utilisée pour les achats intégrés afin de fournir des reçus signés de manière unique qui ne pourraient pas être dupliqués en masse comme avec le service de Borodine.
Le prochain Web a également interviewé Borodine, qui a indiqué qu'il avait confié l'exploitation du site à un tiers afin d'éviter des problèmes et supprimera toute information qu'il a obtenue lors de l'exécution de l'opération. Selon Borodin, plus de 30 000 transactions dans l'application ont été effectuées via son service, et il n'a récolté que 6,78 $ en dons PayPal pour l'aider à couvrir ses frais.
Mise à jour 2 : Macmonde aussi discuté avec Borodine , qui a noté qu'il peut en effet voir les noms de compte et les mots de passe des utilisateurs de l'App Store, car ils sont transmis en texte clair dans le cadre du processus d'achat intégré.
Je peux voir l'identifiant Apple et le mot de passe, pour les comptes qui tentent le piratage, a déclaré Borodin à Macworld. Mais pas les informations de carte de crédit. Borodine a déclaré qu'il était choqué que les mots de passe soient transmis en clair et non cryptés.
Selon [le développeur Marco] Tabini, cependant, Apple suppose qu'il parle à son propre serveur avec un certificat de sécurité valide. Mais c'était clairement une erreur - c'est entièrement la faute d'Apple, a ajouté Tabini.
Mise à jour 3 : Apple a publié un brève déclaration à La boucle reconnaître qu'il est au courant et enquêter sur le problème.
La sécurité de l'App Store est extrêmement importante pour nous et la communauté des développeurs, Natalie Harrison, a déclaré à The Loop. Nous prenons très au sérieux les signalements d'activités frauduleuses et nous enquêtons.
Articles Populaires