18:32
15/7/2012

Rosyjski hacker znalazł sposób na ominięcie wymogu płatności typu “in-app” wykorzystywane przez aplikacje, gry i książki umieszczone w App Store.

Jak kupować w App Store za darmo?

Płatności in-app, w których błąd znalazł Rosjanin pozwalają na zakupy z poziomu iOS (bezpośrednio z danej aplikacji) bez potrzeby odwiedzania App Store’a. Alexey V. Borodin o nicku ZonD80, pochwalił się swoim odkryciem na YouTube (niestety, Apple już usunęło ten filmik). Aby skorzystać z hacka nie trzeba jailbreakować telefonu — wystarczy iOS w wersji od 3 w górę.

In App zhackowany

Płatności In App zhackowane

Instrukcje, jakie ZonD80 opublikował są następujące:

  • Zainstaluj dwa certyfikaty (jeden to CA, drugi to in-appstore.com)
  • Połącz się z siecią Wi-Fi i zmień DNS na 37.235.49.133
  • Naciśnij na przycisk Like i wpisz swoje AppleID oraz hasło
Uwaga, podążanie za tymi instrukcjami to nic innego jak kradzież.
Uwaga, podążanie za powyższymi instrukcjami powoduje tunelowanie połączenia przez serwer należący do hackera — co prawda twierdzi on, że nikomu nie udstępnia zebranych danych (AppleID i haseł) i ruchu aplikacji, ale jak jest naprawdę, tego się nie sposób zweryfikować.

Do tej pory Alexey V. Borodin przy pomocy swojej usługi http://www.in-appstore.com/ “sprzedał” już 400 000 aplikacji, a Apple zablokowało 2 należące do hackera adresy IP wykorzystywane do kupowania na lewo.

Aktualizacja 18:45
W obliczu dowodów nieufności, ZonD80 zmienił sposób działania swojej usługi. Teraz można podać dowolne AppleID (nie zmienia to jednak faktu, że część ruchu z telefonu komórkowego będzie dalej trafiała na serwer hackera — warto mieć to na uwadze).

Przeczytaj także:



35 komentarzy

Dodaj komentarz
  1. Ciekawe kiedy Google usunie tego bloga postawionego na blogspocie?

  2. Drogi niebezpieczniku warto dodać, że błąd działa tylko na aplikacje leniwych programistów którzy idą na skróty – request należy weryfikować dodatkowo po stronie swoich serwerów to raz. Dwa, że kto podaje swoje hasło przez jakieś ruskie proxy?

    • Już nie ma wymogu podawania prawdziwych/swoich danych AppleID.

    • Jestem developerem, ktory zarabia na IAP w AppStore i zapewniam Cie, ze to nie jest lenistwo. Wiele aplikacji sprawdza rachunki, ale i tak nie sa odporne na ten hack, poniewaz ten Rosyjski serwer wysyla poprawne rachunki, przechwycone przy uczciwym zakupie.

      Ja szczesliwie bazuje wszystko na consumable IAP i przy weryfikacji rachunku sprawdzam czy juz zostal kiedys wyslany, wiec drugi raz nie zaakceptuje tego samego receipta.

  3. Hehe…
    Jak były (są) byki w ich oprogramowaniu, trojany właziły etc., to ociągali się jak się patrzy.
    A jak tylko ktoś ruszył kurek z forsą… To widać jak się uwijają ;->

    • To nawet nie ich kasa (choć też mają marże), ale kasa twórców apek. A te straty mogą się skończyć mniejszą liczbą aplikacji na iOS i większą przewagą Androida.
      No i nie wiem, jak odpowiedzialność – czy nie mogą teraz apple’a zaskarżyć.

    • Zwiększą przewagę Androida? Nie sądzę… tam kradzież jest łatwiejsza. Kupić, skopiować apk i zwrócić w ciągu 15 min. :p

    • @mitcom Trzeba mieć root, czyli poziom trudności jak w iOS.
      W API Androida jest możliwość sprawdzenia, czy użytkownik wykupił aplikację. każdy programista może go użyć dowolnie.

      Jak kiedyś napisze aplikację wartą zapłacenia 1$ i ktoś ją ukradnie. W kodzie programu umieszczę funkcję która wyślę SMSa o treści “Ukradłem tą aplikację i żałuje tego czynu” do kilku kontaktów. Myślę że po tym nauczy się płacić programistom.

    • Żeby zrobić backup aplikacji do .apk wcale nie trzeba mieć roota, wystarczy program typu App Backup & Restore czy ASTRO File Manager.

      I owszem, sprawdzanie, czy user kupił aplikację w Google Play jest skuteczne. Żeby je zdjąć, trzeba mieć roota.

  4. Nie jestem obeznany, ile średnio kosztuje aplikacja w appstore? Przy 400 000 pewnie uzbierze się niezła suma.

  5. Mnie interesuje tylko jakie “copyright claim” w tym youtube widzi.
    Czyżby YT było na tyle głupie by przypuszczać, że ogryzek ten film nagrał?

    Niestety YT tak ma, że wystarczy, że ktokolwiek zgłosi “copyright claim”, nawet ze świeżo utworzonego konta na fikcyjne dane i już wywalają filmik na 10 dni(później kolejne zgłoszenie i kolejne 10 dni) bez uprzedniego sprawdzenia czy faktycznie prawa autorskie były naruszone.
    Tym sposobem można kogoś skutecznie pozbawić możliwości wyświetlania filmików.

  6. Uwaga, propagacja prostej oceny etycznej “kradzież” w odeniesieniu do hegemonii amerykańskich podmiotów technologicznych to zdrada stanu!

    • Popieram.

    • również popieram – kopiowanie (które de facto ma miejsce przy ściąganiu) to nie kradzież

    • To nie kradzież tylko złamanie warunków licencji. Jeżeli nie akceptujesz licencji oprogramowania, to nie masz prawa z niego korzystać.

  7. Ciekawe, czy w App Store są jakieś giełdy, żeby wyprać zakupy :) sam mam androida

  8. Ominięcie wymogu płatności typu “in-app”? Działające tylko przy aplikacjach sprawdzających request po stronie klienta? Znane od dawna, z wymogiem jailbreaku, ale bez konieczności łączenia z ruskimi serwerami. iAPCracker.

  9. Może jestem niedzisiejszy, ale publikowanie szczegółowej instrukcji “jak okraść Apple”, gdy dziura nie została jeszcze załatana, wydaje mi się mocno nieetyczne. A disclaimer jest po prostu śmieszny.

    • A kto Ty jesteś aby oceniać co jest etyczne? Bóg? Proboszcz? Ja/My nie z tej parafii.

    • Czyli od dziś jak cały net o czymś grzmi, my będziemy grzecznie czekać aż załatają ?
      A to, że dzięki temu wiemy jak się bronić przy pisaniu własnych apek, już nic nie warte?
      Dobrze zrozumiałem przekaz Panie Maćku ?

      Nie etyczne było by raczej ukrywanie wiedzy na ten temat, albo nie nazywanie tego po imieniu. Im większy szum tym szybciej załatają tak na marginesie.

    • Równie nieetyczne co sprzedawanie noży w sklepie.

  10. Warto wspomnieć, że to nie “kupowanie aplikacji” a “in app purchase” – mechanizm pozwalający na np. dokupywanie opcji. I na jailbreak było to już dawno – po prostu oszukiwało się appkę, że zapłaciło się np. za kolejny poziom w grze. Jak zwykle wiele hałasu o coś, co działa od dawna.

    Inna rzecz, że dane lecą po SSL, ale podobno plaintext’em stąd podanie l/p do kont z podpiętą kartą kredytową jest szalonym krokiem. Szczególnie w systemie, który umożliwia “giftowanie” muzyki, aplikacji itp. Pewnie 400 000 appek już zostało zakupionych, ale na koszt frajerów…

  11. Mam iPhone 3G bez JB i korci mnie aby spróbować :D ale chyba nie… ;p

    • Korci mnie żeby napisać komentarz, ale nie, chyba jednak nie…;p

  12. Bitch please, JB, a potem Installous + iAP Cracker lub iAP Free i mamy zarówno płatne aplikacje jak i In-Appy za darmo, i to już od paru lat bez oddawania haseł podejrzanym ruskom. Napiszcie jak znajdziecie sposób na darmowe In-Appy w Androidzie bez roota :D

  13. “Uwaga, podążanie za tymi instrukcjami to nic innego jak kradzież.”

    Nie, podążanie za tymi instrukcjami to nic innego jak łamanie licencji oprogramowania.

    • To właśnie Gildia Złodziei ma wyhaftowane na klubowych chusteczkach ;DDD

  14. a na kiego grzyba mi jakies aplikacje na telefon? moja nokia 5110 z 1998 roku działa i nie potrzebuje żadnych podejrzanych programów z ruskich stron żeby zadzwonić

  15. Aplikacje na telefony w sumie są tak tanie, że dziwię się, że ludzie je ściągają na lewo. Ciekawe czy ci ludzie są świadomi tego, że postępując w ten sposób w sumie sprawiają, że oprogramowanie jest coraz droższe…

    • Lizaki w sklepie też są tanie, a dzieci kradną ;)

    • Ja się nie dziwię. Nie chodzi tyle o cenę, co o sposoby dystybucji a szczególnie formy płatności. Wiekszość płatności wymaga posiadania karty kredytowej, mało tego mam podać swoje dane osobowe, wiek, adres e-mail, adres zamieszkania + czasem jeszcze jakieś podejżane ankiety do wypełnienia. Może jeszcze zdjęcie, ksero dowodu osobistego i numer buta co ? To dotyczy wszelkiej tak zwanej “dystrybucji cyfrowej”, z programami i grami na PC jest tak samo. Zobacz sobie tylko na ORIGIN, nowy “wynalazek” EA, nie dość że za grę zapłacisz uczciwie i niemało, masz jeszcze wyrazić zgodę na to by Orgin mógł przetrząsać twój komputer wzdłóż i wszerz oraz wysyłać do EA dowolne informacje które sobie upatrzy (Policja w większości cywilizowanych państw do czegoś takiego potrzebuje odpowiedniego świstka od prokuratora). Oczywiście o tym że Twoje dane są “udostępniane” (czytaj sprzedawane” podmiotom trzecim, pisze się drobnym maczkiem gdzieś między wierszami nudnej jak flaki z olejem umowy licencyjnej. Taki mały chiński “chłyt materkindody”, …ale działa !!! ;D

  16. […] co pisaliśmy o sposobie ominięcia wymogu płatności w App Store, a tu kolejny fail Apple. Tym razem pobierając aplikacje z iTunes otrzymywaliśmy […]

  17. Jestem deweloperem.
    Mam apk w play store jak i w appstore. Zarabiam na apk aj ok.1000 mies. Na lewo moje apk i i gry tez są. I udostępniania je JA. Dlaczego? Tak naprawdę ukrywam w lewych apkach program który dzwoni na policje z nagrana wiadomością głosowa. I wysyła współrzędne. ;-) Ktoś kto kradnie mi apk traci dużo. Jeśli nie ma karty może zapłacić na mojej stronce za pomocą SMS lub przelewu.▶;-)◀■◇◆□●○○

    • Jeżeli sam je udostępniasz to życzę powodzenia podczas ewentualnej sprawy w sądzie, szczególnie gdy trafisz na kogoś kumatego, kto będzie w stanie udowodnić, że ma ją właśnie od Ciebie. Zagrywka w stylu słynnego wirusa policyjnego, baw się dalej w tego typu wymuszenia, tylko później nie płacz jak zamiast pirata, to Ty dostaniesz po doopie.

  18. Po co wpisywać swoje wszystkie dane ?? Jak ktoś wpisze fałszywe to coś się stanie ? :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: