Apple conserta brecha do hack das compras internas, mas implementará somente no iOS 6
Escrito por iLex, às 12:25 - 21 de julho de 2012
19 comentários »
O que suspeitávamos, estava certo: somente uma atualização do sistema poderia impedir que o hack das compras in-App continuasse existindo (leia “Russo consegue criar um método para baixar compras extras nos aplicativos sem pagar nada“). Mas não existirá nenhum iOS 5.1.2. Em nota dirigida aos desenvolvedores, a Apple afirma que só solucionará o problema no iOS 6, a ser lançado na próxima primavera.
Enquanto isso, ela dá dicas para que os devs configurem corretamente seus aplicativos para não serem alvo do hack. Uma página de suporte está disponível ensinando como fazer. De fato, os programadores que sempre seguiram as regras de validação da Apple estão imunes aos roubos.
Nesta semana, alguns desenvolvedores perceberam que a Apple começou a gravar a identificação individual de cada aparelho (UDID) que realiza compras in-App, para aumentar a segurança ou, quem sabe, descobrir quem está usando o truque e roubando conteúdo sem pagar.
Como sempre, alertamos aos nossos leitores que tentar este procedimento expõe a segurança do próprio aparelho, ao enviar informações a um site russo totalmente desconhecido.
Aguardando iOS 6
Quem faz isso tem que se ferrar!
Não é só enviar um login e senha falso ao fazer a compra? O site russo não valida isso, já que ele não sabe se seu usuario e senha são validos na Apple
Sim mas como você logar com uma conta da app store falsa??
Não. Olha a ingenuidade da galera caindo no conto do russo.
O aplicativo que você baixou tem o seu ID dentro dele (e isso é fácil de comprovar, basta descompactar o arquivo). Mesmo que você se desconecte da loja, o aplicativo envia os seus dados (associados a ele) para o servidor russo.
Se você está perguntando isso porque foi um dos que experimentou o processo, pode comprovar o que eu estou dizendo: tente baixar as compras internas “adquiridas irregularmente” em um outro aparelho que não possui o hack que, como um passe de mágica, as compras serão validadas. Ou seja, o servidor da Apple recebeu a informação e associou o hack à sua conta. Ora, ele só poderia ter feito isso se os dados da sua conta tivessem sido enviados no pedido de compra e isso significa que tudo isso passou pelo servidor do russo.
Ou seja, tanto a Apple quanto o russo receberam seus dados.
O arquivo metadata tem o seu Apple ID (sem senha) apenas para comprovar se você está instalando num aparelho autorizado. E você vê que aquando da compra interna, ele pede para você logar. Quando inserir as suas credenciais, essas são enviadas para o servidor russo e não são conferidas. No entanto, é enviado é o seu UDID (que identifica o aparelho), e quando for refazer a compra a Apple fica com esses dados. Mas o que acontece depois está nas mãos dela. Resumindo: nenhum dado pessoal fica comprometido para o russo, mas você se arrisca a ter o seu aparelho bloqueado posteriormente.
Concordo com o Thiago Volpe! Fora que isso vai dar um prejuizo pros desenvolvedores =/
Baita prejuizo… Quem é desenvolvedor sabe o quanto isso é ruim, tudo o que se tem trabalho para fazer tem que ser pago! É uma pena que a cultura Microsoft predomina no brasil, onde roubar software não é crime e assim por diante. Quem realmente sabe o quanto custa para desenvolver paga sem dó de gastar, claro que o app tem de ser bom… Valew BDI por discutir tais assuntos que usuarios comuns não ficariam sabendo sem vcs!
“roubando conteúdo sem pagar” – Isso não é redundante?
Lançamento antecipado do iOS 6? Tomara!
Não usei esse método russo e nem pretendo usar. Mas convenhamos, tem alguns dev que estão de sacanagem.. Tem muito app pago e que tudo deveria vir é pago por fora..
Isso é parecido com o q a Capcom fez no PS3. Nos jogos de luta, os lutadores que são comprados por fora já estão no disco comprado…
Aí é foda…
Até o IOS6……
Os Russos se dão bem na contra espionagem,
Faz um bom tempo que os Russos tem laskado os americanos pela net, mesma pedra que vc joga para cima é aquela que volta
.
Vc encontra de tudo um pouco nos sites Russos
Não acredito nisso. Seria sem lógica a Apple implementer o iOS 6 antes da apresentação do novo iphone e além do mais, o iOS 6 beta ainda está em sua terceira versão, relaxe
Se tivesse descoberto, ao invés de falar ja estaria implementando o mais rapido possivel.
Espero que seja um motivo,para vir antes
Quer dizer então que o hack funcionará por um bom tempo no iPad 1 certo? E em iPods touch 3G que não receberão o iOS 6 também.
Pois é, fiquei com essa dúvida também. Se será corrigido apenas no iOS 6, como fico eu com um iPad 1?
OK, quanto a esse truque desonesto, é só não usar. Minha preocupação é outra: se isso expõe (suponho) uma brecha de segurança no sistema, eu estaria permanentemente vulnerável a ela, já que meu aparelho parará no 5.1.1? Isso seria um problema.
eu acho que a questão é você se expor, e não o sistema em si! Ele não está “vulnerável” se não não fizer o procedimento. Simples! É o mesmo que falar que o Windows é ruim porque pega muito vírus sendo que é você quem clica nas “fotos que alguém tirou de você numa festa”!
Entendo, Jorge. No Android, iOS, OS X ou Windows (uso e gosto de cada um deles), creio que o sistema é seguro se o usuário procede com cuidado.
Minha preocupação é se essa brecha de segurança pode ser usada de outra forma, menos óbvia, já que só será consertada de vez no iOS 6. Assim, usuários de produtos deixados de lado pela política de atualização (como eu) estariam mais vulneráveis do que outros?
Não tenho conhecimentos técnicos suficientes para saber se essa brecha pode ou não ser usada de outra maneira.
Como usuário leigo, gostaria de que pelo menos uma atualização de segurança fosse lançada, mas isso pode não ser tecnicamente possível — ou mesmo necessário.