كما لوحظ بواسطه 9to5Mac ، طور مخترق روسي طريقة بسيطة نسبيًا للسماح للمستخدمين بتجاوز آلية Apple In App Purchase على العديد من تطبيقات iOS ، مما يسمح للمستخدمين بالحصول على المحتوى مجانًا.
يظهر زر تأكيد شراء بديل في التطبيق على الأجهزة المخترقة
تتضمن الطريقة ، التي لا تتطلب كسر الحماية ، تثبيت زوج من الشهادات على جهاز المستخدم ثم استخدام إدخال DNS مخصص. يمكن للمستخدمين بعد ذلك إجراء عمليات شراء داخل التطبيق كالمعتاد وإعادة توجيههم تلقائيًا من خلال النظام المخترق.
بصرف النظر عن التأثير الواضح المتمثل في أن الاختراق ينطوي على سرقة المحتوى من المطورين ، فإن الطريقة تشكل أيضًا مخاطر على أولئك الذين يستخدمون الاختراق ، حيث يتم نقل بعض المعلومات الخاصة بهم إلى خوادم المتسلل أثناء عملية الشراء. لكل من هذين السببين ، يُنصح المستخدمون بشدة بعدم اتباع الطريقة.
كيفية إيقاف تشغيل الوضع الليلي
تم طرد المخترق بالفعل من مضيفه الأصلي ، وبحسب ما ورد انتقل إلى مضيف جديد ، لكن الموقع معطل حاليًا. من غير الواضح ما إذا كان تعطله ببساطة بسبب ارتفاع حركة المرور أو إذا تم اتخاذ خطوات أخرى لعرقلة أنشطته.
يمكن للمطورين منع الاختراق من العمل مع تطبيقاتهم من خلال تنفيذ التحقق من إيصالات شراء التطبيقات ، وهو أمر لم يدرجه العديد من المطورين في تطبيقاتهم.
تحديث : الويب التالي يأخذ نظرة فاحصة في الطريقة التي طورها Alexey Borodin ، والتي في الواقع لا يمكن منعها ببساطة عن طريق استخدام التحقق من صحة الإيصال.
جميع احتياجات خدمات بورودين عبارة عن إيصال تبرع واحد يمكن استخدامه بعد ذلك لمصادقة طلبات الشراء لأي شخص. تم التبرع بالعديد من هذه الإيصالات من قبل بورودين نفسه ، الذي أنفق عدة مئات من الدولارات على عمليات الشراء داخل التطبيق واختبارها وتوليد الإيصالات. [...]
نظرًا لأن التجاوز يحاكي خادم التحقق من الإيصال في متجر التطبيقات ، فإن التطبيق يتعامل معه على أنه اتصال رسمي ، فترة.
كيفية جعل موقع ويب رمزًا على iPhone
ستتطلب معالجة المشكلة في النهاية إجراء تغييرات من قِبل Apple ، مما قد يؤدي إلى تحسين واجهة برمجة التطبيقات المستخدمة في عمليات الشراء داخل التطبيق لتوفير الإيصالات الموقعة بشكل فريد والتي لا يمكن تكرارها على أساس جماعي كما هو الحال مع خدمة Borodin.
الويب التالي كما أجرى مقابلة مع بورودين ، الذي أشار إلى أنه سلم تشغيل الموقع لطرف ثالث من أجل تجنب المتاعب وسيحذف أي معلومات حصل عليها من إدارة العملية. وفقًا لبورودين ، تم إجراء أكثر من 30000 معاملة داخل التطبيق من خلال خدمته ، وحصل على 6.78 دولارًا فقط من تبرعات PayPal للمساعدة في تكاليفه.
التحديث 2 : مكوورلد تجاذب أطراف الحديث أيضًا مع بورودين ، الذي أشار إلى أنه يمكنه بالفعل رؤية أسماء وكلمات مرور حسابات App Store للمستخدمين ، حيث يتم إرسالها بنص واضح كجزء من عملية الشراء داخل التطبيق.
أخبر بورودين Macworld أنه يمكنني رؤية معرف Apple وكلمة المرور للحسابات التي تحاول الاختراق. لكن ليس معلومات بطاقة الائتمان. قال بورودين إنه صُدم لأن كلمات المرور تم تمريرها بنص عادي وليست مشفرة.
وفقًا لـ [المطور ماركو] تابيني ، على الرغم من ذلك ، تفترض Apple أنها تتحدث إلى خادمها الخاص بشهادة أمان صالحة. وأضاف تابيني أن هذا كان خطأ واضحًا - وهذا خطأ شركة آبل بالكامل.
التحديث 3 : أصدرت شركة آبل ملف بيان موجز ل الحلقة الإقرار بأنه على علم بالموضوع والتحقيق فيه.
قالت ناتالي هاريسون لموقع The Loop إن أمان متجر التطبيقات مهم للغاية بالنسبة لنا ولمجتمع المطورين. نحن نتعامل مع تقارير النشاط الاحتيالي على محمل الجد ونحقق في الأمر.
المشاركات الشعبية