Hlavní navigace

Apple má bezpečností problém s možností plateb přímo v aplikacích, nakupovat lze bez placení

Daniel Dočekal 17. 7. 2012

Apple bojuje s bezpečnostním nedostatkem procesu nákupu přímo v aplikacích na svých mobilních zařízeních. Bezpečnostní nedostatek umožňuje obejít zaplacení a placený obsah získávat bez uskutečnění platby. Boj Apple je zajímavý hlavně tím, že bezpečnostní chybu neopravili, místo toho blokují IP adresy používané k jejímu zneužití, nechali zablokovat objeviteli chyby účet na PayPal a videa (například zde) ukazující chybu jsou na YouTube nahlašována v rámci DMCA a blokována.

Apple bojuje s bezpečnostním nedostatkem procesu nákupu přímo v aplikacích na svých mobilních zařízeních. Bezpečnostní nedostatek umožňuje obejít zaplacení a placený obsah získávat bez uskutečnění platby. Boj Apple je zajímavý hlavně tím, že bezpečnostní chybu neopravili, místo toho blokují IP adresy používané k jejímu zneužití, nechali zablokovat objeviteli chyby účet na PayPal a videa (například zde) ukazující chybu jsou na YouTube nahlašována v rámci DMCA a blokována.

K nákupu „bez peněz“ není potřeba jailbreak ani instalace jakékoliv aplikace. Do počítače postačí přidat bezpečnostní certifikáty a pozměnit nastavení DNS. Po této změně je v řadě aplikací možné nakupovat bez placení. Zpravidla ale pouze v těch, které nedodržuje dodatečná doporučení pro nákupní proces uveřejněná v Verifying Store Receipts.

Informace o tom jak je možné „nakupovat bez placení“ zveřejnil autor na In-Appstore.com – Free In-App purchases for every iDevice. Autorem je ruský vývojář vystupující pod pseudonymem ZonD80 a „nákup bez placení“ využívá podvrhnutých bezpečnostních certifikátů a navíc podvrhnutím IP adres podstatných pro nákupní proces (Poznámka: Pokud se rozhodnete něco takového zkoumat, pamatujte na případné riziko v podobě této změny a také možného rizika toho, že ZonD80 může získávat informace, které mu možná příliš poskytovat nechcete). Výsledek je ten, že nákupní proces uvnitř aplikací proběhne „úspěšně“ přes alternativní ověření a je tak možné nakoupit bez zaplacení. Co možné není je nákup samotných aplikací.

Sophos v Apple's App Store bypassed by Russian hacker, leaving developers out of pocket uvádí, že prostřednictvím této metody již došlo k desítkám tisíc nákupů. A také uvádí, že případné řešení od Apple bude vyžadovat zásah do způsobu ověřování a pravděpodobně bude vyžadovat i změny u autorů samotných aplikací. 

Našli jste v článku chybu?

17. 7. 2012 9:01

Novinka to je, tohle nevyžaduje jailbreak. A jinak samozřejmě souhlasím, že je tam podstatný moment v laxnosti autorů některých aplikací.

17. 7. 2012 8:40

k3dT (neregistrovaný)

Hmm to je zase novinka... iAP cracker je v Cydii uz minimalne rok, umi to samy a funguje to stejne jen cca u poloviny vsech aplikaci... kdyby vsichni vyvojari kontrolovali na svym serveru odpoved od Apple serveru, jak Apple doporucuje tak by byl klid.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není