目前俄罗斯的黑客Alexey Borodin盯上了苹果的App Store应用内付费系统,可以轻易的在任何iOS系统中,下载任意应用内付费的商品。此举可能严重破坏App Store中的货币化制度。并且作为移动应用开发者可能无法收到苹果的分成,进而或造成重大经济损失。
来自YouTube的一个视频展示了如何破解App Store的应用内付费机制。目前苹果通过与YouTube沟通已经删除了这则视频。目前苹果仍然没有发表正式的声明,对已经遭到攻击的应用开发者如何处理。
在YouTube的视频已经被删除
这段视频的作者Alexey Borodin(他还有一个昵称叫做:ZonD80)在视频中演示了许多免费应用中的内付费和收费应用可以轻易的破解。由此数量众多的应用受到此漏洞的影响。不过这对于用户来说更为危险,Borodin指出,在他的网站上可以看到用户的Apple ID和密码。一旦不明真相的群众,通过其黑客架设的“伪苹果”服务器绕过应用付费机制,很有可能泄露自己的密码信息。
在视频上,Alexey Borodin指出,破解苹果付费系统,并不需要越狱你的iOS设备,几乎从iOS 3.0至尚未发布的iOS 6.0都存在此漏洞。
通常用户在购买应用时,都是苹果的App Store中进行授权交易,苹果会检查其Apple ID是否已经付费购买。
苹果应用程序采购系统如何对应用进行升级
苹果的App Store和应用之间,有两种方法进行交易。一种比较简单,而另一种更为复杂。如果移动应用开发者,使用了更为安全的方式和运营服务器来开发自己的移动应用,那么Alexey Borodin的破解方法也将无能为力。
专家技术分析
根据Macworld的专家解析:Alexey Borodin的破解工作仅仅是停留在iOS购买验证阶段,这种破解方法仅仅可以骗取iOS本地应用,相信用户已经在苹果那边付费购买。这种破解方法不会从开发者的服务器上下载到具体的数据。如果应用接驳的是真正的苹果服务器,那么应用会得到某些回应,同时服务器也会得到应用的响应。由此这些付费购买的消息,不会发送到苹果的服务器上,也就不会产生真正的购买行为。因此,开发者不会收到苹果任何分成。
但无论是谁,借用了Alexey Borodin伪装的苹果服务器,都会暴露自己的Apple ID和密码。因为他们必须安装2个安全证书才能找到和使用Alexey Borodin在俄罗斯的服务器。(IP:62.76.189.117)
该证书会创建一个应用程序购买服务器和相关的DNS系统证书,在这样的一个“封闭”网络中,对其应用进行购买验证,进而伪造苹果商店的购买应用过程。
总的来说,这不会影响到所有的应用付费。苹果公司强烈推荐开发者们,付费应用要执行额外的审查步骤,接收来自苹果商店套件请求。当你的应用程序依赖于某个单独的服务器来提供订阅服务或下载服务时,这一点就显得尤为重要。同时还要验证服务器上收到的请求,以确保那些应用程序是有效的。
举例来说,假如你开发的是个赛车游戏应用,虚拟物品是一辆跑车。除了你要在用户购买时,验证该虚拟物品是否付费,更要在用户调用这个增值道具的时候进行验证,看看该玩家是否已经购买过这个虚拟商品。如果该玩家的Apple ID在数据库中找不到,则要对其进行排查和提示。另外你也可以将跑车的数据放在服务器上,玩家购买后再许可他将跑车下载到应用中。
移动开发者更担心什么?
Mac和iOS平台应用的开发者Craig Hockenberry表示:我敢打赌,99%的移动开发者在应用中仅仅设置了一个简单的iOS验证服务器,因为他们从没有想过有人会搞伪DNS对应用做IP欺骗。所以他们绝对不会做一些额外的工作。这就意味着,近期会有大量的收费应用和内付费应用要进行更新。同时,一些完全免费应用则不会过于关心这个问题。
趋势科技的移动产品营销总监,Greg Boyle指出:谈到移动平台的安全性,不仅仅是用户需要保护,平台和应用开发者同样需要保护。对支付系统开发怠慢的开发者,已经陷入了这个漏洞事件之中。如果把应用商店比作一家零售店,那么它被劫匪和小偷洗劫过之后,吃亏的还是供应商。在这种情况下,移动应用开发者很难控制整个平台的安全性。而由此苹果的App Store应该承担更多的责任,除了维护自己的利益之外,更应该关心整个生态系统的根基——移动应用开发者的利益。
业界的蝴蝶效应
人怕出名猪怕壮,苹果App Store惊爆的内付费漏洞,相信会快会蔓延到其他移动平台和应用商店。苹果仅仅是太有名气了,所以才成为了众多黑客的众失之的。在未来,苹果、谷歌、微软一个都跑不了。黑客和网络上其他犯罪分子也将不会停止寻找各种骗钱生财的机会。作为移动互联网和电子商务高速增长的时代,也必将是罪犯眼中的焦点。IP欺骗不是什么新技术,在很多黑客眼里甚至是和穷举密码差不多的低级手段,未来更新颖的攻击方式也会五花八门多起来。
{{item.content}}