Hlavní navigace

Apple má bezpečností problém s možností plateb přímo v aplikacích, nakupovat lze bez placení

Daniel Dočekal

Apple bojuje s bezpečnostním nedostatkem procesu nákupu přímo v aplikacích na svých mobilních zařízeních. Bezpečnostní nedostatek umožňuje obejít zaplacení a placený obsah získávat bez uskutečnění platby. Boj Apple je zajímavý hlavně tím, že bezpečnostní chybu neopravili, místo toho blokují IP adresy používané k jejímu zneužití, nechali zablokovat objeviteli chyby účet na PayPal a videa (například zde) ukazující chybu jsou na YouTube nahlašována v rámci DMCA a blokována.

Apple bojuje s bezpečnostním nedostatkem procesu nákupu přímo v aplikacích na svých mobilních zařízeních. Bezpečnostní nedostatek umožňuje obejít zaplacení a placený obsah získávat bez uskutečnění platby. Boj Apple je zajímavý hlavně tím, že bezpečnostní chybu neopravili, místo toho blokují IP adresy používané k jejímu zneužití, nechali zablokovat objeviteli chyby účet na PayPal a videa (například zde) ukazující chybu jsou na YouTube nahlašována v rámci DMCA a blokována.

K nákupu „bez peněz“ není potřeba jailbreak ani instalace jakékoliv aplikace. Do počítače postačí přidat bezpečnostní certifikáty a pozměnit nastavení DNS. Po této změně je v řadě aplikací možné nakupovat bez placení. Zpravidla ale pouze v těch, které nedodržuje dodatečná doporučení pro nákupní proces uveřejněná v Verifying Store Receipts.

WT100

Informace o tom jak je možné „nakupovat bez placení“ zveřejnil autor na In-Appstore.com – Free In-App purchases for every iDevice. Autorem je ruský vývojář vystupující pod pseudonymem ZonD80 a „nákup bez placení“ využívá podvrhnutých bezpečnostních certifikátů a navíc podvrhnutím IP adres podstatných pro nákupní proces (Poznámka: Pokud se rozhodnete něco takového zkoumat, pamatujte na případné riziko v podobě této změny a také možného rizika toho, že ZonD80 může získávat informace, které mu možná příliš poskytovat nechcete). Výsledek je ten, že nákupní proces uvnitř aplikací proběhne „úspěšně“ přes alternativní ověření a je tak možné nakoupit bez zaplacení. Co možné není je nákup samotných aplikací.

Sophos v Apple's App Store bypassed by Russian hacker, leaving developers out of pocket uvádí, že prostřednictvím této metody již došlo k desítkám tisíc nákupů. A také uvádí, že případné řešení od Apple bude vyžadovat zásah do způsobu ověřování a pravděpodobně bude vyžadovat i změny u autorů samotných aplikací. 

Našli jste v článku chybu?