In-app Purchase trên Apple iOS bị vượt qua, cho phép mua vật phẩm không tốn tiền

​

​

Một hacker người Nga dường như đã vượt qua được các lớp bảo mật của tính năng “mua trong ứng dụng” ( in-app purchase ) có mặt trên các thiết bị chạy hệ điều hành iOS phiên bản 3.0 trở lên. Bằng cách sử dụng phương pháp proxy trong ứng dụng ( in-app proxy ) người thực hiện có thể mua các vật phẩm trong app mà không phải trả bất cứ đồng tiền nào. Phương pháp này cũng không yêu cầu một thiết bị đã jailbreak hay bất kỳ hiểu biết chuyên môn đặc biệt. Hiện tại, hacker người Nga có nick “ZonD80” (tên thực là Alexey V. Borodin ) đã công bố phương pháp này trên trang web của mình.Theo trang tin 9to5mac, để hack tính năng in-app purchase người dùng chỉ cần thực hiện ba bước kỹ thuật rất đơn giản gồm 1. cài đặt chứng chỉ CA; 2. cài đặt chứng chỉ in-appstore.com ; và 3. thay đổi bản ghi DNS trong thiết lập Wi-Fi. Sau đó, khi sử dụng chức năng mua trong ứng dụng, người dùng sẽ được chuyển hướng đến một máy chủ bên ngoài và hộp thoại trả tiền truyền thống sẽ được thay bằng một hộp thoại khác (hình dưới), người dùng chỉ việc nhấp chuột chọn LIKE và thế là đã hoàn thành việc mua bán.

​

Tuy nhiên, không có cái gì là hoàn toàn miễn phí, giống như việc bạn dùng ….. hay keygen sẽ dễ bị dính virus vậy, 9to5mac cho biết khi sử dụng thủ thuật này, một số thông tin liên quan như id, version và mức độ giới hạn (restriction level) của ứng dụng, GUID của thiết bị, số lượng và tên của các vật phẩm được mua và ngôn ngữ cũng như khu vực bạn đang cư trú sẽ bị chuyển đến một máy chủ từ xa. Hiên tại cũng chưa rõ hacker này sẽ sử dụng các thông tin này vào mục đích gì sau đó.

Một thủ thuật hack đơn giản không yêu cầu chỉnh sửa hệ thống lại có thể phá vỡ được một trong những tính năng liên quan đến nguồn thu của
Tuy nhiên, không có cái gì là trọn vẹn không tính tiền, giống như việc bạn dùng ….. hay keygen sẽ dễ bị dính virus vậy, 9 to5mac cho biết khi sử dụng thủ pháp này, một số ít thông tin tương quan như id, version và mức độ số lượng giới hạn ( restriction level ) của ứng dụng, GUID của thiết bị, số lượng và tên của những vật phẩm được mua và ngôn từ cũng như khu vực bạn đang cư trú sẽ bị chuyển đến một máy chủ từ xa. Hiên tại cũng chưa rõ hacker này sẽ sử dụng những thông tin này vào mục tiêu gì sau đó. Một thủ pháp hack đơn thuần không nhu yếu sửa đổi mạng lưới hệ thống lại hoàn toàn có thể phá vỡ được một trong những tính năng tương quan đến nguồn thu của App Store. Rõ ràng điều này cho thấy có yếu tố lớn trong bảo mật thông tin mạng lưới hệ thống trên iOS, và chúng hoàn toàn có thể tương quan đến những chứng từ bảo mật thông tin. Trong hành động phản hồi những thông tin này, Apple cho biết họ đang tích lũy thông tin và những báo cáo giải trình nhằm mục đích tìm hiểu làm rõ yếu tố một cách thực sự tráng lệ đồng thời cũng nhấn mạnh vấn đề tầm quan trọng của việc bảo mật thông tin App Store so với họ và hội đồng tăng trưởng ứng dụng. Trong lúc đó, ở phía bên kia chiến tuyến, hacker Borodin vẫn đang liên tục lôi kéo lôi cuốn dòng tiền quyên góp để duy trì hoạt động giải trí của sever hỗ trợ thủ thuật này .