Apple의 iOS 인앱 구매시 해커 : ‘Game is over’

2 주 전, 러시아 개발자 Alexey Borodin은 iOS 3.0 이상을 실행하는 모든 기기에서 Apple의 앱내 구매 프로그램을 해킹하여 iPhone, iPad 및 iPod touch 사용자가 결제 과정을 우회하여 인앱 콘텐츠를 훔칠 수 있도록했습니다. 애플은 해결 방법과 지난 주에이를 확인하고 임시 픽스를 발표하고 아이폰 OS 6의 출시로 구멍을 뚫는다. 오늘 보로딘 (Borodin)은 애플의 솔루션이 실제로 해킹을 중단한다고 선언했다.

그는 “이제 다 끝났어.”라는 제목의 in-appstore.com에 대한 게시물에서 그가 무엇을 말했는지에 대해 이야기합니다.

iOS 6에서 인앱 구매에 관한 마지막 사과의 진술을 검토하면 현재 게임이 끝났다고 말할 수 있습니다. 현재 업데이트 된 API를 우회 할 방법이 없습니다. 모든 사람에게 좋은 소식입니다. iOS에서 보안을 업데이트했으며, 개발자는 돈을 가지고 있습니다.

쿠퍼 티노가 처음으로 해킹을 막으려 할 때 실패했습니다. 이제 회사는 마침내 임시 해결책 임에도 불구하고 적절한 해결책을 제시합니다. iOS 6이 마침내이 해킹을 완전히 막을 때까지 기다려야 할 것입니다.

그동안 Borodin은 iOS 6이 출시 될 때까지는 “서비스가 계속 작동 할 것입니다.”라고 말합니다. 게다가, 그는 여전히 열심히 일하고있다. 지난 주 맥 인앱 구매 해킹

iOS 해킹에서 가장 나쁜 부분은 개발자가 앱을 보호 할 수있는 방법이 없다는 것입니다. 매장 영수증 사용, 작동하지 않음, Borodin의 서비스가 단일 기부 영수증을 필요로하므로 다른 사람의 구매 요청을 인증하는 데 사용할 수 있습니다. 그의 우회 기술은 인증서를 설치 (가짜 인앱 구매 서버 및 맞춤 DNS 서버 용)하고, DNS 설정을 변경하여 “구입”인증을 허용하고, 마지막으로 Apple App Store에서 영수증 검증 서버를 에뮬레이트했습니다.

영향을받는 iOS 응용 프로그램은 Apple이 구입을 인증하는 방법 때문에 Borodin의 서버를 공식 통신으로 취급합니다. 최근까지 구매를 고객이나 장치에 직접 연결하는 것은 아무것도 없었습니다. 즉, 구입 한 영수증을 여러 번 사용할 수있었습니다. 간략히 말하자면,이 해킹은 인앱 구매 요청이 승인을 받았을뿐만 아니라 재 라우트되고 있음을 의미합니다. 이제 개발자는 iOS 6을 기다리는 동안 승인 프로세스를 방해 할 수 있습니다.

그럼에도 불구하고 쿠퍼 티노는 고객의 애플 ID와 패스워드를 일반 텍스트로 전송하고있다. 애플은 자신의 서버와 통신하고 있다고 가정했다. 앱 제한 수준, 앱 ID, 버전 ID, 기기 GUID, 인앱 구매 수량, 인앱 구매 쿠폰 이름, 앱 식별자, 앱 버전, 사용자 언어 및 지역에 따라 다음 정보가 기기에서 Borodin 서버로 전송됩니다. .

in-appstore.com을 운영하는 사람은 고전적인 man-in-the-middle 공격에서 모든 사람의 iTunes 로그인 자격 증명 (고유 한 장치 식별 데이터는 물론)을 쉽게 수집 할 수 있습니다. 내 생각에 애플은 보 오딩 (Boroding)이 승인 한 릴리스 인 iOS 6에서이 부분을 다룰 예정이다.

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임

미 국방부, 정부의 감시로 사이버 비상 대응 비판

애플의 맥 인앱 구매가 해킹 된, 모든 것이 iOS처럼 무료이며, 애플 iOS 인앱 구매가 해킹되고, 모든 것이 무료 (비디오)이고, 애플이 iOS 인앱 구매 해킹을 조사하고, 애플이 iOS 인앱 구매 해킹을 막으려 고 시도하며 실패한다 애플은 iOS 인앱 구매 해킹을 막기 위해 고유 한 식별자를 추가하고, 애플은 아이폰 OS 6의 인앱 구매 해킹을 차단하고, 임시 픽스를 제공하며, 크로스 플랫폼 트로이 공격은 윈도우, 인텔 맥, 리눅스를 공격한다.

보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 중요한 보안 구멍을 고치기 위해 사용자를 업데이트 할 것을 촉구하고 보안, 백악관은 첫 번째 연방 정보 보안 책임자 (COO)를 임명하고 보안, 펜타곤은 사이버 정부 감시원의 비상 사태 대응