BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2012/07/07.html

Взлом внутрипрограммных покупок в App Store
dl // 14.07.12 01:16
Российский программист Алексей Бородин обнародовал способ бесплатного получения внутрипрограммных покупок в iOS-приложениях.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/07/07.html]

Оставим в стороне вопросы этичности и того, насколько это быстро/эффективно закроют разработчики приложений (собственно, необходимый механизм для блокировки есть, и многие приложения его используют, оставаясь неуязвимыми к описанной атаке). Хочется подчеркнуть одну милую деталь - описанный способ предполагает установку CA сертификата и подмену DNS в настройках WiFi. Другими словами, всем желающим им воспользоваться предлагается своими руками создать идеальные условия для атаки класса man in the middle. На себя.

Так что есть ощущение, что страсть к халяве может стать себе дороже.

Источник: Slashdot      
теги: apple, ios  |  предложить новость  |  обсудить  |  все отзывы (3) [7649]
назад «  » вперед

аналогичные материалы
Apple случайно превратила FaceTime в инструмент для прослушки // 29.01.19 04:31
Запароленные бэкапы iOS 10 взламываются в 2500 раз легче // 26.09.16 00:40
Срочное обновление iOS // 26.08.16 19:17
iOS-приложения распрощаются с HTTP // 15.06.16 09:29
iOS-троян, распространяющийся через уязвимость в Apple DRM, успешно прорвался в App Store. Трижды. // 16.03.16 20:43
Крупная атака на App Store // 21.09.15 03:57
Microsoft открыла Windows Bridge for iOS // 06.08.15 22:18
 
последние новости
Последний второй Python // 25.04.20 23:22
Microsoft предупредила о двух незакрытых уязвимостях // 24.03.20 00:44
Перевод Firefox на DNS over HTTPS // 25.02.20 16:33
Microsoft закрыла серьёзную уязвимость, открытую АНБ // 15.01.20 00:52
Прощаемся с Windows 7 // 14.01.20 22:22
С наступающим // 31.12.19 23:59
Google постепенно отключит доступ к G Suite сторонним приложениям, использующим простой пароль // 17.12.19 17:18

Комментарии:

идеальные условия для атаки? 17.07.12 21:07  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
какие условия для атаки? CA свой.
что значит свой? 17.07.12 21:53  
Автор: dl <Dmitry Leonov>
Отредактировано 17.07.12 22:01  Количество правок: 3
<"чистая" ссылка>
Вот родное описание с http://www.in-appstore.com/p/getting-started.html:

"[...] Open this page into your iDevice. Install these certificates (just tap on links): First, Second. The order of installing is very important! Install first certificate first, second - second."

First и Second ведут на файлы, лежащие на 91.224.160.136, первый cacert.pem, второй itcert.pem.
я недочитал и ступил :) 17.07.12 22:26  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
<добавить комментарий>



  Copyright © 2001-2020 Dmitry Leonov Design: Vadim Derkach