App漏洞,免费用in-App物品
2012-07-14 06:11
204 查看
据获悉,一个俄罗斯的黑客发明了一种叫in-app代理的方式,用户可以不用付费购买App里面的物品,比如好多游戏提供付费方式的购买用于该游戏的物品,使用了in-app代理,就可以不用付费而免费获得这些午评。这个方法无需对iOS系统本身进行破解,而且据他说,可以工作在iOS
3.0到6.0几乎所有的iOS设备上。这个破解已经被其它人确认工作,而且正在被越来越多的人关注。
他公布了这个简单的工作过程:安装一个证书,安装in-appstore.com证书,然后在网络的DNS中变更到他指定的服务器。之后在in-aap购买的时候,会出现
而不是苹果原来的。只要点击Like按钮,就可以不用付费而购买成功。
研究人员指出,他的方法是从购买数据中偷取了一些信息,比如:restriction level of app, id od app, id of version ,guiid of your device, quantity of in-app purchase, -ffoce name of in-app purchase, -language you are using, identifier of appliation, version of application, you local.等等。经过加工返回给客户iOS设备的App,以骗取App的购买确认认可。
该方法可能不能在所有的App上工作,因为有人报告有的App不适用。其实,Apple提供给开发者了验证购买凭证的方法,如果开发者忽略了这一步,产生确认漏洞,那么就会被这个方法攻击。这也是为什么这个方法对有些软件不工作的原因。
目前,苹果的反应是:“The security of the App Store is incredibly important to us and the developer community,” Apple representative Natalie Harrison, told The Loop. “We take reports of fraudulent activity very seriously and we are
investigating.” 而且他们已经多次尝试封闭从该网站到Apple服务器的访问连接。不过据该黑客说,已经被多次封闭并多次恢复。
这种方法对使用者是否安全,先在还无法证明它不安装,不过专家指出,这有可能造成使用者的信息泄露。
Tony Liu
3.0到6.0几乎所有的iOS设备上。这个破解已经被其它人确认工作,而且正在被越来越多的人关注。
他公布了这个简单的工作过程:安装一个证书,安装in-appstore.com证书,然后在网络的DNS中变更到他指定的服务器。之后在in-aap购买的时候,会出现
而不是苹果原来的。只要点击Like按钮,就可以不用付费而购买成功。
研究人员指出,他的方法是从购买数据中偷取了一些信息,比如:restriction level of app, id od app, id of version ,guiid of your device, quantity of in-app purchase, -ffoce name of in-app purchase, -language you are using, identifier of appliation, version of application, you local.等等。经过加工返回给客户iOS设备的App,以骗取App的购买确认认可。
该方法可能不能在所有的App上工作,因为有人报告有的App不适用。其实,Apple提供给开发者了验证购买凭证的方法,如果开发者忽略了这一步,产生确认漏洞,那么就会被这个方法攻击。这也是为什么这个方法对有些软件不工作的原因。
目前,苹果的反应是:“The security of the App Store is incredibly important to us and the developer community,” Apple representative Natalie Harrison, told The Loop. “We take reports of fraudulent activity very seriously and we are
investigating.” 而且他们已经多次尝试封闭从该网站到Apple服务器的访问连接。不过据该黑客说,已经被多次封闭并多次恢复。
这种方法对使用者是否安全,先在还无法证明它不安装,不过专家指出,这有可能造成使用者的信息泄露。
Tony Liu
相关文章推荐
- App漏洞,免费用in-App物品
- 免费在线app安全(漏洞)测试工具
- Android Google In APP Billing 刪除測試物品 android.test.Purchase 筆記
- 安卓APP漏洞有哪些?在线免费App漏洞检测!
- 爱加密免费apk漏洞检测 、遏制手机App遭到反编译。
- 淘宝虚拟物品自动发货---DiPiPi网店自动发货助手免费版
- 携程爆支付漏洞 梆梆APP加固可预防
- contact list app in android
- web or app in Mobile ?
- In App Purchases(IAP 应用程序內购买): 完全攻略
- Google Play In-app Billing
- Android类app的安全问题造成漏洞的原因以及解决方法
- iPhone In App Purchase购买完成时验证transactionReceipt
- iOS In-App Purchase 内购之 什么是恢复购买记录
- what does mean "Units" in apple app sales report?
- [解决]我遇到的unable to run app in Simpulator
- 创建 In-app Billing 商品
- 180120 逆向-AndroidApp常见漏洞和挖掘技巧
- AjaxPro In WebApp