NS によって指摘された 9to5Mac 、ロシアのハッカーは、ユーザーが多くのiOSアプリでAppleのアプリ内購入メカニズムをバイパスできるようにする比較的簡単な方法を開発しました。これにより、ユーザーはコンテンツを無料で入手できます。
ハッキングされたデバイスに表示される代替アプリ内購入確認ボタン
ジェイルブレイクを必要としないこの方法では、ユーザーのデバイスに証明書のペアをインストールしてから、カスタムDNSエントリを使用します。その後、ユーザーは通常どおりアプリ内購入を実行し、ハッキングされたシステムを介して自動的にリダイレクトされます。
ハッキングには開発者からのコンテンツの盗難が含まれるという明らかな影響は別として、購入プロセス中にハッカーのサーバーに独自の情報の一部が送信されるため、この方法はハッキングを使用するユーザーにもリスクをもたらします。これらの両方の理由から、ユーザーはこの方法を追求しないことを強くお勧めします。
iOS14でページを非表示にする方法
ハッカーはすでに元のホストから追い出されており、新しいホストに移動したと報告されていますが、サイトは現在ダウンしています。単に交通量が多いためにダウンしているのか、それとも彼の活動を妨げるために他の措置が講じられているのかは不明です。
開発者は、多くの開発者がアプリに含めていないアプリ内購入レシートの検証を実装することで、ハッキングがアプリで機能するのを防ぐことができます。
アップデート : 次のWeb よく見る Alexey Borodinによって開発された方法で、実際にはレシート検証を採用するだけでは防ぐことはできません。
ボロディンのサービスに必要なのは、寄付された1つの領収書だけです。この領収書を使用して、誰の購入要求も認証できます。これらの領収書の多くは、アプリ内購入のテストと領収書の生成に数百ドルを費やしたボロディン自身によって寄付されました。 [...]
バイパスはAppStoreのレシート検証サーバーをエミュレートするため、アプリはそれを公式の通信期間として扱います。
iphone13はどのように見えますか
この問題に対処するには、最終的にAppleによる変更が必要になります。これにより、アプリ内購入に使用されるAPIが拡張され、ボロディンのサービスのように大量に複製できない一意に署名されたレシートが提供される可能性があります。
次のWeb また、ボロディン氏は、トラブルを避けるためにサイトの運営を第三者に譲渡し、運営から得た情報を削除すると述べた。ボロディンによると、彼のサービスを通じて30,000以上のアプリ内トランザクションが行われ、彼は自分の費用を支援するためにわずか6.78ドルのPayPal寄付を獲得しました。
アップデート2 : Macworld ボロディンともおしゃべり 、彼は、アプリ内購入プロセスの一部としてクリアテキストで送信されるため、ユーザーのAppStoreアカウント名とパスワードを実際に見ることができると述べました。
ボロディン氏はMacworldに、ハッキングを試みたアカウントのAppleIDとパスワードを確認できると語った。ただし、クレジットカード情報ではありません。ボロディン氏は、パスワードが暗号化されておらず、プレーンテキストで渡されたことにショックを受けたと語った。
ただし、[開発者のMarco] Tabiniによると、Appleは有効なセキュリティ証明書を使用して自社のサーバーと通信していると推定しています。しかし、それは明らかに間違いでした。これは完全にAppleのせいです、とTabiniは付け加えました。
アップデート3 :Appleは に簡単な声明 ループ 問題を認識して調査していることを認めます。
App Storeのセキュリティは私たちにとって非常に重要であり、開発者コミュニティのNatalieHarrisonはTheLoopに語りました。私たちは不正行為の報告を非常に深刻に受け止めており、調査中です。
人気の投稿