Óriási bajban az Apple – Egy orosz hacker feltörte az In-App-Purchase-t!

KeleMan 2012.07.13. 19:41 Apple, iPhone 19 hozzászólás 3 048

Hatalmas pörgés és fejetlenség lehet most Cupertinoban az iOS részlegnél, ugyanis egy orosz hacker feltörte az Apple alkalmazáson belüli vásárlásának a lehetőségét. Mindenféle egyéb program nélkül sikeresen vásárolt ugyanis teljesen ingyenesen az alkalmazásokon belül, melyet meg is osztott a YouTube portálján.

Az orosz hacker kiléte egyelőre ismeretlen, csak annyit lehet róla tudni, hogy ZonD80 a YouTube felhasználói neve. A mai nap először az I-EKB.ru oldalán számoltak be az úgynevezett “In-App-Proxy” eljárásról, melyet mindenféle Jailbreak, Cydia és törés nélkül végzett el a hacker.

A legfontosabb az, hogy ZonD80 mindezt egy iPhone 4S készülékkel és a legújabb iOS 6 béta rendszerével végezte, de időközben kiderült, hogy az iOS 3.0-tól az iOS 6-ig bezárólag az összes rendszerben megoldható a hack! Ezért is tartom kiemelten fontosnak megjegyezni, hogy az Apple-nek nagyon is fontos, hogy a hibát pár órán belül javítsák, hiszen itt dollármilliók úszhatnak el, mind az Apple, mind pedig a kiadók zsebéből, ha nem javítják a lehető leggyorsabban azt! Az alkalmazáson belüli vásárlásból ugyanis több, mint 72%-os bevétele van a kiadóknak, ha a teljes App Store áruház bevételeit nézzük (2012 év eleji adatok)!

A 9to5Mac.com szerkesztői is kipróbálták és alátámasztották, hogy az eljárás működőképes, de hozzátették, hogy nem minden alkalmazásnál sikerült a vásárlás. Az App Store áruházban a fejlesztők főleg a Cydia megjelenése óta tértek át az alkalmazáson belüli vásárlásra, hiszen magát a programot bár ingyenesen biztosítják, de az egyéb tartalmakat, vagy bizonyos opciókhoz való hozzáférést, csak pénzért vehetett meg a felhasználó. Ez eddig úgy tűnt, hogy megkerülhetetlen és az Apple igazán jó munkát végzett. Most úgy tűnik, hogy mindig lesz valaki, aki egy lépéssel a cupertinoiak orra előtt jár.

A hack elvileg 3 rövid lépésben elvégezhető, mondta el a hacker. Az első, hogy egy CA tanúsítványt kell telepíteni az iOS eszközre, majd az in-appstore.com oldalról is egy tanúsítványt, végül a harmadik lépésben át kell írnunk a WiFi elérés DNS rekordjait. Mindenesetre senkit sem biztatunk erre a lépésre, illetve a teljes anyagot sem közöljük le, hiszen azt majd biztos megteszi helyettünk más oldal. A fontos inkább az, hogy ezt az Apple a kiadók és a saját érdekében is mihamarabb javítsa.

Tetszett a bejegyzés? Lájkold, csiripeld, oszd meg!

A szerző

Tanulmányaim és a közgáz befejezése után gazdasági informatikusként végeztem, majd 2004-től 2012-ig a Magyar Telekomnál (T-Home, T-Mobile) dolgoztam. Jelenleg szabadúszó webfejlesztőként és dizájnerként tevékenykedem. Szívesen foglalkozom PHP és WordPress programozással, fejlesztéssel, weboldalak üzemeltetésével.

19 hozzászólás

  1. Bálint. - 2012.07.13. 19:45

    A feltores azert egy kicsit tulzas.

    • KeleMan - 2012.07.13. 19:45

      Még el sem olvastad! :D

      • Bálint. - 2012.07.13. 19:50

        Nem. Mar reggel megtettem kulfoldi oldalakon. Amugy az Apple-nek van enek a kivedesere egy kulon modszere (az ID ellenorzese ugyebar), ami miatt mar most sem mindig mukodik. Szoval csak a fejlsztoknek kene osszeszedniuk magukat es egy if-t beszurni abba a ki. kodba.

        Ez ugyanaz, mint a mysql-injection. Ha lusta vagy, akkor egy idezojellel szetcs.hetik az egesz eletedet, ha nem, akkor mar feleannyian fognak tudni feltorni ;)

        • KeleMan - 2012.07.13. 19:58

          Az szép! :D De akkor vajon erre a fejlesztők miért nem figyelnek jobban? Az is lehet, hogy csak nem tudnak róla?

          • Bálint. - 2012.07.13. 20:00

            Szerintem eddig nem kellett felniuk tole es a penzuket amugy is megkaptak :)

        • Berr - 2012.07.14. 08:31

          Imádom amikor egy okostojás akarja megmagyarázni a profi prpgramozóknak, hogy mit kéne és hogyan. Itt meg ossza az észt, hogy ő mekkora penge programozó. Lol.

          • Bálint. - 2012.07.14. 12:09

            Olvass utana ;)

          • Bálint. - 2012.07.14. 12:14

            Amugy nem arrol van szo, hogy okoskodni akarok, vagy hogy nagy programozo lennek. En csak kiegeszitem az informaciokat.

            Van kulonbseg akozott, amikor belekotsz valamibe es amikor teljesen joindulatbol leirod a velemenyedet. Sajnos az utobbi keveseknek megy.

          • Bálint. - 2012.07.14. 12:28

            Remelem angolul tudsz.

            9to5mac:
            Commenters noted that Apple does provide a method for developers to validate receipts for in-app purchases. This is likely why the hack described above does not work with some apps and is something all devs implementing IAP should be taking advantage of.

            Link (validate receipts for in-app purchases):
            http://goo.gl/3i9AS

      • Bálint. - 2012.07.13. 19:56

        Amugy szeretem az ilyen hireket :) Mindig felkapjak es hetekig (van hogy honapokig) kell magyarazkodnom, hogy dehat ez nem is faj senkinek. :)

        Mint az az idei nagy Mac virus. Az egesz csak a lustasag. Ti amugy foglalkoztok .app-fejlesztessel iOS vagy OS X platformokra? :)

        • KeleMan - 2012.07.13. 20:01

          Jelenleg nem, de személy szerint én magam majd szeretném elkezdeni az iOS fejlesztést, van pár jó ötletem.

          • Bálint. - 2012.07.13. 20:03

            En is igy vagyok vele iOS, OS X. Mostanaban eleg sokat fogllakozok Objective-C-vel es tarsaival. Amugy nem akarok reklamozni meg ilyenek de a nopblogon (link lejjebb) mostanaban eleg jol kielemzik az iOS-t.

            http://0x90.freeblog.hu

          • KeleMan - 2012.07.13. 20:11

            Köszönjük! Hasznos cikkek!

          • Bálint. - 2012.07.13. 20:23

            Oh es van nehany nagyon jo konyvem is. OS X-hez, iOS-hez es Androidhoz. Ha erdekelnek akkor keress meg :)

          • KeleMan - 2012.07.13. 20:38

            Ok, jöhetnek! Főleg az iOS-es! :)

          • Bálint. - 2012.07.13. 20:41

            Akkor irj egy mailt legyszives a theflashmaniacs@gmail.com cimre :)

  2. DnP - 2012.07.13. 19:53

    Csak futtat egy kamu szervert, ami elhiteti a telcsivel, hogy megvetted a cuccost. Kozben gyujti ossze a sok luzer adatait. Csak batran, tessek, csak tessek :)

  3. iMike - 2012.07.13. 23:40

    Erre már volt tweak a Cydiában, iAPKiller a neve, mióta az iPodom a Cydiás eszét tudja, azóta van. :) (Van amiben offline is működik, net nélkül, ha a program előre tudja a vásárolható elemek listáját.)

  4. Edem - 2012.07.14. 12:53

    Igen, ez már hónapok óta elérhető cydiábol. In app purchase névvel, vagy iAPKiller amit Mike is írt. De sok alkalmazás már válaszolt rá. ( pl.: Infinity Blade 2 -ben felejtős ezt használni .. )

Szólj hozzá Te is!