App漏洞,免費用in-App物品

來源:互聯網
上載者:User

據獲悉,一個俄羅斯的駭客發明了一種叫in-app代理的方式,使用者可以不用付費購買App裡面的物品,比如好多遊戲提供付費方式的購買用於該遊戲的物品,使用了in-app代理,就可以不用付費而免費獲得這些午評。這個方法無需對iOS系統本身進行破解,而且據他說,可以工作在iOS
3.0到6.0幾乎所有的iOS裝置上。這個破解已經被其它人確認工作,而且正在被越來越多的人關注。

他公布了這個簡單的工作過程:安裝一個認證,安裝in-appstore.com認證,然後在網路的DNS中變更到他指定的伺服器。之後在in-aap購買的時候,會出現


而不是蘋果原來的。只要點擊Like按鈕,就可以不用付費而購買成功。

研究人員指出,他的方法是從購買資料中偷取了一些資訊,比如:restriction level of app, id od app, id of version ,guiid of your device, quantity of in-app purchase, -ffoce name of in-app purchase, -language you are using, identifier of appliation, version of application, you local.等等。經過加工返回給客戶iOS裝置的App,以騙取App的購買確認認可。

該方法可能不能在所有的App上工作,因為有人報告有的App不適用。其實,Apple提供給開發人員了驗證購買憑證的方法,如果開發人員忽略了這一步,產生確認漏洞,那麼就會被這個方法攻擊。這也是為什麼這個方法對有些軟體不工作的原因。

目前,蘋果的反應是:“The security of the App Store is incredibly important to us and the developer community,” Apple representative Natalie Harrison, told The Loop. “We take reports of fraudulent activity very seriously and we are
investigating.” 而且他們已經多次嘗試封閉從該網站到Apple伺服器的訪問串連。不過據該駭客說,已經被多次封閉並多次恢複。


這種方法對使用者是否安全,先在還無法證明它不安裝,不過專家指出,這有可能造成使用者的資訊泄露。


Tony Liu

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.