UPD Вътрешен хакер намери начин да заобиколи покупките в приложението

вътрешен

Няма да се бавим и да обявим първото име, нашите читатели трябва да познават своите герои от поглед - сайтът се казва Macdigger.ru и е известен с някои джейлбрейк фокус. Както знаете, джейлбрейкът и пиратството са напълно незаменими понятия и инсталирането на настройки, които променят външния вид на системата, няма нищо общо с инсталирането на откраднато съдържание. Бяхме дълбоко объркани от следната публикация:

намери

Накратко, тази статия разказва, че домашният хакер Алексей Бородин е намерил начин да заобиколи финансовата страна на покупките в играта в приложенията на iOS, тоест потребителят, използвайки тази инструкция, може да прави същите тези покупки колкото пъти пожелае, без да плаща нито стотинка за това. Отнема хляба на разработчиците, които печелят, нека ви напомня, от разработването на приложения.

Естествено, ние нямаме намерение да оставим тази ситуация такава, каквато е сега. И ако публикуването на такива статии остава на съвестта на нечестни интернет ресурси, тогава ние от своя страна сме длъжни да информираме представителите на Apple за това, така че такава атракция да бъде затворена. Следното писмо е изпратено до българската пресслужба на Apple:

Казвам се Иля Казаков, представител съм на интернет ресурса AppleInsider.ru.

Също така бихме искали да информираме нашите читатели за действията, предприети от Apple по този проблем.

Благодаря за вниманието.

След това се свързахме със самия разработчик на услугата и взехме кратко интервю с него, в което Алексей разказа как всъщност работи тази система:

Алексей Бородин: Здравейте

AI: Имам няколко въпроса относновашата услуга.

Алексей Бородин: Попитайте

AI: Бихте ли обяснили накратко как работи in-appstore.com?

Алексей Бородин: Въпросът е да се замени частта от магазина за приложения. преди да потвърди покупката, потребителят взаимодейства с магазина за приложения и тогава това, което измислих, влиза в действие. Освен това не е просто прокси, това е доста впечатляваща система с кеш от подписани отговори от магазина за приложения и статистики за „покупки“.

AI: Колко време ви отне внедряването на услугата и откъде дойде идеята?

AI: Честно казано, не забелязах нищо подобно в това приложение, но о, добре, не за това сега. Колко безопасно е за обикновен потребител да използва услугата? По отношение на това дали контакти, пароли и друга лична информация изтичат в ръцете на тези, на които тази информация не трябва да принадлежи?

Алексей Бородин: Нешифрованата парола минава през сървъра, но не се запазва и се изпраща директно в магазина за приложения. Това са поверителни данни и тяхното съхранение и продажба е криминално престъпление. Но не мисля така за покупките в приложението, защото сте купили приложението в магазина за приложения (с цялото му съдържание)? Съдържанието вече е при вас, закупено е. Защо не го отворите безплатно? Все още никой не е лежал в затвора за измама в Counter-Strike. От идентификаторите, които принадлежат директно на вас, се съхранява следното:

  • ниво на ограничение на ап
  • id на ап
  • id на версията
  • ръководство за вашето идеално устройство
  • количество покупки в приложението
  • име на оферта за покупка в приложението
  • език, който използвате
  • идентификатор на приложението
  • версия на приложението
  • вашият локал

И да, между другото, вече подадохме жалба за сървъра, така че най-вероятно ще се преместим в Холандия

AI: Въпреки това,Измамата в Counter-Strike не означава кражба. Заобикалянето на In-App Purchase - напротив, е пряка кражба. В App Store приложение, съдържащо покупка в приложението, често се разпространява много по-евтино (понякога безплатно) от приложения без покупки в приложението. Загрижени ли сте за етичната страна на въпроса? Заобикалянето на покупките по същество вреди на разработчиците, които го печелят

Алексей Бородин: Нищо не пречи на същите разработчици да напишат изявление на сайта и ние просто ще деактивираме покупката през in-appstore.com. По-вероятно.

AI: Вие самият използвате ли "кракнати" приложения или все още ги купувате от App Store, ако не е тайна?

Алексей Бородин: Всичките ми приложения са законно закупени от магазина за приложения. Използвам неограничен IOS. Откровената арогантност на предприемача ме подтикна към такава стъпка. Опитвали ли сте сами да играете CSR Racing? (между другото, добър PR за тях). И да, искам да кажа, че In-App Store е само за законно закупени приложения.

AI: Тоест услугата ще откаже да работи с игри, изтеглени от торенти?

Алексей Бородин: Е, той няма да откаже, дори не съм го учил по някакъв начин. На теория Apple трябва да провери дали приложението е закупено, където искат да купуват в приложението, но не го правят. Е, тогава ще работи.

AI: Не те ли интересува криминалната страна на въпроса? Вашата услуга по същество помага на потребителите да извършват кражба, макар и цифрова.

Алексей Бородин: И какви конкретни обвинения искате да ми повдигнете?

AI: Обвинения не е съвсем точната дума. Интересно е отношението ви към законността на подобна услуга. Мисля, че няма нужда да обяснявам, че предлаганите от услугата възможности са напълно незаконни.Оказва се, че потребителите на iOS по ваше предложение получават лесна възможност да крадат, казано направо.

Алексей Бородин: Да откраднат какво, какво вече имат в ръцете си и какво вече са купили? Да вземем една ситуация. Отидохте до магазина и купихте мляко. В затворена бутилка. Те се прибраха вкъщи и ето ви: „И платете още един долар, за да го отворите.“ Какво ще направиш?

AI: Съгласете се, че това не е съвсем правилният пример. В този случай трябва да кажете нещо подобно: „Ако ви е харесало млякото, платете още N рубли за нов пакет“. Най-често freemium игрите се разпространяват безплатно, разработчикът дава възможност да изпробвате продукта и ако потребителят го хареса, последният гласува за него с рубла. Така се оказва, че всички са доволни - потребителят го изпробва безплатно, а разработчикът получи парите си за изразходваното време и пари. Вашата услуга, оказва се, премахва напълно последния елемент.

Алексей Бородин: Правете платени игри наведнъж или безплатни и платени версии. Какво мога да кажа.

Алексей Бородин: Добре, ще дам работата си на други ръце.

Алексей Гречко, CMO AppMania

Няма да се спирам на вредата, която този хак ще донесе на обикновените разработчици (това е достатъчно очевидно), по-добре е да погледнем към крачка напред.

Колкото по-лесно е за крайния потребител да приложи хак, толкова по-популярен ще стане той. Следователно, ако тази услуга отиде в масите, тогава със сигурност я очаква голяма публика.

Но най-вероятно трябва да очакваме изтичане на лични данни на всеки, който иска да изпробва безплатното. И това не е идентификатор на приложение, а влизане и пароли за акаунти.

В световен мащаб това няма да засегне разработчиците по никакъв начин. Apple ще направи всичко възможно, за да затвори такива дупкив най-близко бъдеще.

Евгени Дорфман, директор мобилни технологии, Postindustria

Мисля, че това ще донесе загуби на разработчиците, но не драматични, тъй като този хак е капка в морето. От него ще има дори по-малко загуби, отколкото от джейлбрейк с различни начини за инсталиране на пиратски софтуер.

Дупката няма да бъде отворена дълго - няколко месеца, преди Apple да намери някакво решение. Въпреки че може да отнеме повече време, ако трябва да се актуализират клиентските библиотеки на StoreKit.

И човекът, който е създал тази система, мисля, че трябва незабавно да получи предложение за работа в Apple 🙂

Днес получихме отговор от пресслужбата на Apple в България. Всичко е наред, фирмата работи по решение на проблема.

„Сигурността на App Store е изключително важна за нас и общността на разработчиците“, каза Натали Харисън, говорител на Apple. „Приемаме много сериозно докладите за измамнически дейности и разследваме.“

С най-добри пожелания, Пресслужба на Apple България