Εντοπίστηκε τρύπα ασφαλείας στις “in-app αγορές” του iPhone – όλα τσάμπα!

in app purchases.jpg

Ρώσος hacker εντόπισε μια… τραγική τρύπα ασφαλείας στο iPhone, που επιτρέπει στον κάτοχο της συσκευής – ακόμη και αν δεν είναι “jailbroken” – να ολοκληρώνει “in-app αγορές” χωρίς να σκάσει δεκάρα!

Η όλη προσέγγιση περιγράφεται ως εξής:

  • Ο χρήστης έχει μια συσκευή που, υπό φυσιολογικές συνθήκες, έχει και πρόσβαση στο Internet.
  • Σε αυτήν έχει κάποια παιχνίδια και εφαρμογές, που επιτρέπουν αγορές “περιεχόμενου” απευθείας από αυτές (και ουχί από το App Store).
  • Εγκαθιστώντας δυο νέα πιστοποιητικά ασφαλείας (όπως λέμε “security certificates”) και αλλάζοντας τον υπάρχοντα DNS server με έναν “πειραγμένο”, η συσκευή στέλνει τα δεδομένα των συναλαγών σε ένα “πειραγμένο” server και όχι… “εκεί που θα έπρεπε”.
  • Αυτός, με τη σειρά του, “απαντά” στη συσκευή πως “η συναλλαγή ολοκληρώθηκε επιτυχώς” (ενώ, φυσικά, δεν έχει συμβεί κάτι τέτοιο).
  • Αποτέλεσμα; Full παιχνίδια και εφαρμογές δίχως περιορισμούς, απολύτως δωρεάν – και, φυσικά… παράνομα.

Να τονίσουμε πως η μέθοδος προϋποθέτει πως “τα δεδομένα των συναλλαγών περνούν από έναν `υποπτο` server”, και έτσι, είναι σαν να προσκαλείς έναν κλέφτη στο σπίτι σου για να… αγοράσεις από την πραμάτεια του. Και παράνομο είναι, και… ριψοκίνδυνο (διότι κανείς δεν σου εγγυάται πως δεν θα ξαφρίσει και εσένα, όταν δεν θα το περιμένεις, για να πουλήσει τα δικά σου πράγματα – στην προκειμένη περίπτωση, τα στοιχεία της πιστωτικής σου, τα προσωπικά δεδομένα σου κ.λπ.) σε τρίτους.

Source:

Early this morning a Russian hacker released a video showing users how to acquire in-app purchases for free. The hack, which does not require jailbreaking, is a simple two-step process that is so easy it’s frightening. In fact, iPhone owners should be very wary of attempting to do this, because it requires an external server, which plenty of hackers will be taking full advantage of to steal your data.

...γνωστός και ως Οδυσσέας Κουράφαλος, αρχικός υπεύθυνος για το unregistered. Συντάκτης, γραφίστας, "μαλτιμηντιάς", φανατικός της science fiction και των αστείων γατιών στου ιντερνέτ. "Δηλώνω graphics whore" (παίζω Ms. Pac-Man στο MAME με 2xSAL και το πρώτο Max Payne με FXAA antialiasing). Load "unreg*",8,1.