같이 에 의해 언급 나인투파이브맥 , 러시아 해커는 사용자가 많은 iOS 앱에서 Apple의 앱 내 구매 메커니즘을 우회하여 사용자가 콘텐츠를 무료로 얻을 수 있도록 하는 비교적 간단한 방법을 개발했습니다.
해킹된 기기에서 볼 수 있는 대체 인앱 구매 확인 버튼
탈옥이 필요하지 않은 이 방법은 사용자의 장치에 한 쌍의 인증서를 설치한 다음 사용자 지정 DNS 항목을 사용하는 것입니다. 그런 다음 사용자는 평소와 같이 인앱 구매를 수행할 수 있으며 해킹된 시스템을 통해 자동으로 리디렉션됩니다.
해킹이 개발자의 콘텐츠를 훔치는 것과 관련이 있다는 명백한 영향 외에도 이 방법은 구매 과정에서 자신의 정보 중 일부가 해커의 서버로 전송되기 때문에 해킹을 사용하는 사람들에게 위험을 초래합니다. 이러한 두 가지 이유로 사용자는 이 방법을 사용하지 않는 것이 좋습니다.
아이폰 se 2 언제 나왔어
해커는 이미 원래 호스트에서 쫓겨났고 새 호스트로 이사한 것으로 알려졌지만 사이트는 현재 다운되어 있습니다. 단순히 교통량이 많아 다운이 된 것인지, 아니면 그의 활동을 방해하기 위한 다른 조치를 취하고 있는 것인지는 불분명하다.
개발자는 많은 개발자가 앱에 포함하지 않은 인앱 구매 영수증의 유효성 검사를 구현하여 해킹이 앱에서 작동하는 것을 방지할 수 있습니다.
업데이트 : 더 넥스트 웹 자세히 살펴보다 Alexey Borodin이 개발한 방법에서는 실제로 영수증 유효성 검사를 사용하는 것만으로는 예방할 수 없습니다.
Borodin의 모든 서비스 요구 사항은 단일 기부 영수증이며, 이 영수증은 모든 사람의 구매 요청을 인증하는 데 사용할 수 있습니다. 이러한 영수증 중 많은 부분은 인앱 구매 테스트 및 영수증 생성에 수백 달러를 지출한 Borodin 자신이 기부했습니다. [...]
우회는 App Store의 영수증 확인 서버를 에뮬레이트하기 때문에 앱은 이를 공식 통신으로 취급합니다.
아이폰 12의 램은 얼마인가요?
이 문제를 해결하려면 궁극적으로 Apple의 변경이 필요하며, 이는 Borodin의 서비스와 같이 대량으로 복제할 수 없는 고유하게 서명된 영수증을 제공하기 위해 앱 내 구매에 사용되는 API를 향상시킬 수 있습니다.
더 넥스트 웹 또한 Borodin은 문제를 피하기 위해 사이트 운영을 제3자에게 넘겼고 운영을 통해 얻은 정보를 삭제할 것이라고 언급했습니다. Borodin에 따르면 그의 서비스를 통해 30,000건 이상의 인앱 거래가 이루어졌으며 비용을 지원하기 위해 PayPal 기부로 6.78달러를 받았습니다.
업데이트 2 : 맥월드 또한 Borodin과 채팅 , 그는 앱 내 구매 프로세스의 일부로 일반 텍스트로 전송되기 때문에 사용자의 앱 스토어 계정 이름과 비밀번호를 실제로 볼 수 있다고 말했습니다.
Borodin은 Macworld에 해킹을 시도한 계정의 Apple ID와 암호를 볼 수 있다고 말했습니다. 그러나 신용 카드 정보는 아닙니다. Borodin은 암호가 암호화되지 않은 일반 텍스트로 전달되었다는 사실에 충격을 받았다고 말했습니다.
그러나 [개발자 Marco] Tabini에 따르면 Apple은 유효한 보안 인증서를 사용하여 자체 서버와 통신하고 있다고 가정합니다. 그러나 그것은 분명히 실수였습니다. 이것은 전적으로 Apple의 잘못이라고 Tabini는 덧붙였습니다.
업데이트 3 : 애플이 발행한 에 대한 간략한 설명 루프 문제를 인식하고 조사하고 있음을 인정합니다.
App Store의 보안은 우리에게 매우 중요하며 개발자 커뮤니티인 Natalie Harrison은 Loop에 말했습니다. 우리는 사기 행위에 대한 보고를 매우 심각하게 받아들이고 조사하고 있습니다.
인기 게시물