苹果支付漏洞引发关注

  据悉,一名俄罗斯黑客发明了一种叫in-app代理的方式,用户可以不用付费购买App里面的物品,比如好多游戏提供付费方式的购买用于该游戏的物品,使用了in-app代理,就可以不用付费而免费获得这些物品。这个方法无需对ios系统本身进行破解,而且据他说,可以工作在iOS 3.0到6.0几乎所有的iOS设备上。这个破解已经被其他人确认有效,而且正在被越来越多的人关注。

  他公布了这个简单的工作过程:安装一个证书,安装in-appstore.com证书,然后在网络的DNS中变更到他指定的服务器。之后在in-app购买的时候,会出现

而不是苹果原来的。只要点击Like按钮,就可以不用付费而购买成功。

研究人员指出,他的方法是从购买数据中偷取了一些信息,比如:restriction level of app, id od app, id of version ,guiid of your device, quantity of in-app purchase, -ffoce name of in-app purchase, -language you are using, identifier of appliation, version of application, you local.等等。经过加工返回给客户iOS设备的App,以骗取App的购买确认认可。

该方法可能不能在所有的App上工作,因为有人报告有的App不适用。
但日前国内一款流行的VoIP软件就被成功破解,更有人将免费充值话费的方法发布在威锋网上,引发网友的高度关注,不少人根据公布的方法进行了免费充值,更有人连续充值高达数十万,而这些充值都可以作为电话费使用。
  


其实,Apple提供给开发者了验证购买凭证的方法,如果开发者忽略了这一步,产生确认漏洞,那么就会被这个方法攻击。这也是为什么这个方法对有些软件不工作的原因。

目前,苹果的反应是:“The security of the App Store is incredibly important to us and the developer community,” Apple representative Natalie Harrison, told The Loop. “We take reports of fraudulent activity very seriously and we are investigating.” 而且他们已经多次尝试封闭从该网站到Apple服务器的访问连接。不过据该黑客说,已经被多次封闭并多次恢复。
这种方法对使用者是否安全,先在还无法证明,不过专家指出,这有可能造成使用者的信息泄露。

相关文章