» »

Popravek za in-app purchase hack prihaja z iOS 6

Popravek za in-app purchase hack prihaja z iOS 6

ZDNet - Prejšnji teden je ruski heker Alexey Borodin (ZonD80) neprijetno presenetil Jabolčne, in sicer z javno objavo resne varnostne luknje v načinu procesiranja in-app nakupov v iOS aplikacijah (vse verzije od trojke naprej). Posledično so lahko bolj spretni uporabniki dobili vse in-app nakupe, bonuse in nadgradnje zastonj, z le malo možnosti, da se jih kasneje odkrije. Apple je pripravil paleto začasnih rešitev, pravi obliž pa bo na voljo šele s prihajajočo izdajo iOS 6, ki je trenutno v beti (in že jailbrakan).

Luknja je temeljila na Applovi šlampariji - na iNapravi namreč niso preverjali pristnosti strežnika za plačevanje in-app nakupov. Borodin je zato preprosto postavil svojega, nato pa v wi-fi nastavitvah podtaknil svoj DNS strežnik, tako da je iNaprava po poizvedbi za IP naslov plačilnega strežnika dobila njegov IP naslov. Promet do strežnika se sicer šifrira, a tudi to ni bil problem, saj je Borodin na svoj strežnik preprosto namestil samopodpisan certifikat, ki ga je potem uvozil še na iNapravico (datoteki cacert.pem in itcert.pem) v seznam zaupanja vrednih strežniških certifikatov. iPhone, iPod oz. iPad so tako slepo verjeli, da se pogovarjajo s pristnim strežnikom. Da bi bilo vse skupaj še lažje, je poba javno postavil še svoj DNS in spletno stran in plačilni strežnik (oboje na in-appstore.com) za ostale uporabnike, skupaj z navodili v obliki YouTube posnetka.

Napako se da sorazmerno enostavno preprečiti s preverjanjem strežniškega certifikate na klientu (pač ne spustiš skozi poljubnega veljavnega certa). Žal razvijalci še vedno večino naporov vlagajo v zagotovitev pristnosti klienta, na avtentikacijo strežniške strani pa preprosto pozabijo, zanašajoč se na poštenost uporabnika in njegovega omrežnega ponudnika.

Ker je bil problem v preveč zaupljivi omrežni kodi na iNapravah, Apple luknje ni mogel preprosto pokrpati s posegom na strežniški strani. Zato pa se je lotil Borodina, in to z vsemi silami. Zoper njegov instrukcijski video na YouTubu so podali DMCA takedown zahtevek, rekoč, da krši njihove avtorske pravice (priljubljena laž, ker takšen takedown traja manj kot 8 ur, v primerjavi z vsemi ostalimi metodami za odstranitev nezakonitih vsebin - to med drugim ve tudi naša vlada). Podobno so poskusili pri gostitelju Sergejeve spletne strani in-appstore.com, ter pri PayPalu, preko katerega je fant zaprosil za donacije. Borodin je vse skupaj enostavno zaobil - strežnik je preselil v drugo državo, donacije preklopil na bitcoin, YouTube posnetek pa postavil na novo, obenem pa Googlu javno sporočil, da vse skupaj nima nič z avtorskimi pravicami.

Istočasno so mirili razvijalce, da lahko goljufive uporabnike odvrnejo z ponovno preverbo številke računa skozi običajni iTunes nakupni API. Žal je glede tega vse več poročil, da to bodisi ne deluje, bodisi potrebuje spremembo tudi na strani aplikacije.

Zadnja (današnja) novica sicer pravi, da so nekoliko predrugačili tudi sam protokol za avtorizacijo in-app plačil, tako da napad zdaj več ne deluje. Brodin naj bi zadevno že potrdil. Vmes sta seveda minila slaba dva tedna, roke pa izmenjalo za več (deset? sto?) tisoč dolarjev dodatne vsebine za igre in druge aplikacije. Pri tem je najbolj zanimivo, da je vse skupaj ven prišlo šele zdaj. Mobilni iTunes je namreč že od nekdaj zgolj spletna aplikacija (podobno tudi Steam!), tako da je bilo že pred leti mogoče z DNS-podtikanjem iTunes Podcast RSS-jev polniti napravo z vsebinami. Tega so se posluževali predvsem pirati in pa GNU/Linux uporabniki, ki jim je Apple s podpisovanjem lokalne baze na iPodu preprečil dostop.

Dokončen mir bo, kot rečeno, prišel s prihajajočim iOS 6. Pri tem naj kot zanimivost omenimo, da za namestitev brezplačnih aplikacij in in-app vsebin več ne bo težil s pop-upom za iTunes prijavo.

 Odstranjevanje YouTube posnetkov s lažnivim zatrjevanjem avtorskih pravic je hitro in učinkovito.

Odstranjevanje YouTube posnetkov s lažnivim zatrjevanjem avtorskih pravic je hitro in učinkovito.

1 komentar

SuperVeloce ::

Pregovorno in opevano varni :))
ryzen 5900x, MSI 5700xt Gaming X, 2x16GB 3600CL16, 850evo+860qvo, Fractal Mini C


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Self-signed cert na iPhonu?

Oddelek: Informacijska varnost
388242 (6335) poweroff
»

Izšel Applov iOS 10 (strani: 1 2 )

Oddelek: Novice / Apple iPhone/iPad/iPod
9924524 (19139)          
»

Kdaj bo tu Applova iUra? (strani: 1 2 3 )

Oddelek: Novice / Apple iPhone/iPad/iPod
11732377 (27402) bluefish
»

Apple mora zaradi nakupov virtualnih dobrin v igrah vrniti vsaj 32 milijonov dolarjev

Oddelek: Novice / Tožbe
2010929 (7537) BigWhale
»

Microsoft naredil svojo lastno YouTube aplikacijo za WP, pa brez oglasov in z downloa

Oddelek: Novice / Windows Mobile
4415899 (11953) w00tnes

Več podobnih tem