Hlavní navigace

Apple má bezpečností problém s možností plateb přímo v aplikacích, nakupovat lze bez placení

Daniel Dočekal

Apple bojuje s bezpečnostním nedostatkem procesu nákupu přímo v aplikacích na svých mobilních zařízeních. Bezpečnostní nedostatek umožňuje obejít zaplacení a placený obsah získávat bez uskutečnění platby. Boj Apple je zajímavý hlavně tím, že bezpečnostní chybu neopravili, místo toho blokují IP adresy používané k jejímu zneužití, nechali zablokovat objeviteli chyby účet na PayPal a videa (například zde) ukazující chybu jsou na YouTube nahlašována v rámci DMCA a blokována.

Apple bojuje s bezpečnostním nedostatkem procesu nákupu přímo v aplikacích na svých mobilních zařízeních. Bezpečnostní nedostatek umožňuje obejít zaplacení a placený obsah získávat bez uskutečnění platby. Boj Apple je zajímavý hlavně tím, že bezpečnostní chybu neopravili, místo toho blokují IP adresy používané k jejímu zneužití, nechali zablokovat objeviteli chyby účet na PayPal a videa (například zde) ukazující chybu jsou na YouTube nahlašována v rámci DMCA a blokována.

K nákupu „bez peněz“ není potřeba jailbreak ani instalace jakékoliv aplikace. Do počítače postačí přidat bezpečnostní certifikáty a pozměnit nastavení DNS. Po této změně je v řadě aplikací možné nakupovat bez placení. Zpravidla ale pouze v těch, které nedodržuje dodatečná doporučení pro nákupní proces uveřejněná v Verifying Store Receipts.

Content 2017 - tip Footshop

Informace o tom jak je možné „nakupovat bez placení“ zveřejnil autor na In-Appstore.com – Free In-App purchases for every iDevice. Autorem je ruský vývojář vystupující pod pseudonymem ZonD80 a „nákup bez placení“ využívá podvrhnutých bezpečnostních certifikátů a navíc podvrhnutím IP adres podstatných pro nákupní proces (Poznámka: Pokud se rozhodnete něco takového zkoumat, pamatujte na případné riziko v podobě této změny a také možného rizika toho, že ZonD80 může získávat informace, které mu možná příliš poskytovat nechcete). Výsledek je ten, že nákupní proces uvnitř aplikací proběhne „úspěšně“ přes alternativní ověření a je tak možné nakoupit bez zaplacení. Co možné není je nákup samotných aplikací.

Sophos v Apple's App Store bypassed by Russian hacker, leaving developers out of pocket uvádí, že prostřednictvím této metody již došlo k desítkám tisíc nákupů. A také uvádí, že případné řešení od Apple bude vyžadovat zásah do způsobu ověřování a pravděpodobně bude vyžadovat i změny u autorů samotných aplikací. 

Našli jste v článku chybu?
17. 7. 2012 9:01

Novinka to je, tohle nevyžaduje jailbreak. A jinak samozřejmě souhlasím, že je tam podstatný moment v laxnosti autorů některých aplikací.

17. 7. 2012 8:40
k3dT (neregistrovaný)

Hmm to je zase novinka... iAP cracker je v Cydii uz minimalne rok, umi to samy a funguje to stejne jen cca u poloviny vsech aplikaci... kdyby vsichni vyvojari kontrolovali na svym serveru odpoved od Apple serveru, jak Apple doporucuje tak by byl klid.