Vandaag hebben we erover gesproken het In-Appstore-systeem waarmee je nu in-app-aankopen voor applicaties kunt hacken Dat zal ik je vertellen in de paar uur sinds de presentatie van het systeem en tot nu toe zijn er 30.000 piratentransacties geregistreerd. Kortom, we hebben het over een interval van meer dan zes uur waarin iDevice-bezitters meer dan 6 neptransacties registreerden via het in-app-aankoopsysteem van Apple, en als we de transacties in geld zouden omzetten, zou het bedrag zeker aanzienlijk zijn.
Eerder vandaag zijn er zo'n 30,000+ in-app-aankopen gedaan via de service van Borodin, die volgens hem geen persoonlijke informatie van zijn gebruikers verzamelt.
Het systeem maakt gebruik van een kwetsbaarheid in in-app-aankopen om gebruikers van deze functionaliteit te voorzien, en een ontwikkelaar beweert dat Apple alles kan oplossen door het versleutelingssysteem te verbeteren van de gegevens die worden verzonden tussen het iDevice en de servers van het bedrijf. Tot die tijd denk ik dat er veel transacties zullen worden geregistreerd zolang het systeem actief is en uiteraard zullen de ontwikkelaars veel geld verliezen.
Feit is dat dit voor Apple gemakkelijk op te lossen zou zijn door ontwikkelaars een methode te bieden waarmee ze IAP-bewijzen kunnen valideren met behulp van een zogenaamd 'gedeeld geheim', dat wil zeggen een stukje informatie dat zowel bij Apple als bij de ontwikkelaar bekend is en dat niet als zodanig wordt uitgewisseld. onderdeel van het validatieproces", zegt ontwikkelaar Marco Tabini. "In combinatie met een andere techniek genaamd 'salting', waarbij elke communicatie op een tijdgevoelige manier digitaal wordt ondertekend, zou dit het voor iemand veel moeilijker maken om het IAP-proces te ondermijnen met behulp van een man-in-the-middle-aanval.
