Handl i Apples App Store uden at betale - smuthul opdaget

Alle kunne - uden at hacke - hente betalingsprogrammer uden at betale. Apple undersøger.

Annonce:
Annonce:
Apple må nu bruge sommerferien til at undersøge en pinlig fejl, der kan koste Apple og mange udviklere penge, hvis den ikke straks bliver rettet.

En russer kan demonstrere, hvordan han har fundet et smuthul i App Store, der lader ham gennemføre de såkaldte in app-køb - uden at betale. Altså ekstra point i spil, abonnementer på ebøger og lignende direkte i Apples programmer.
Russeren har nu givet andre mulighed for at bruge kattelemmen. Mindst 30000 overførsler er gennemført til iPads og iPhones, uden at Apple har fået fem flade øre for dem.


Manden i midten
Russeren Alexey V. Borodins omgåelse af Apples systemer er teknisk set ikke et hack. Han har fundet en måde at snyde Apples system til at tro, at der rent faktisk er blevet betalt for et in-app-køb - uden at det er sket. Altså et man-in-the-middle-angreb.

Han kan genbruge en kvittering fra ét køb til at tillade mange falske. The Next Web har mere om metoden. Ifølge Borodin er der flere måde, at Apple kunne fikse og forbedre sikkerheden på. Så han er nu i kontakt med firmaet.


Jeg stjæler ikke
Alexey V. Borodin startede bloggen In-appstore.com, hvor han fortalte om smuthullet. Han påstår, at han ikke længere selv skriver på siden - og har overdraget den til andre, fordi han ikke vil risikere at komme i fængsel.

Men inden han overgav kontrollen med siden, skrev han, at han ikke har dårlig samvittighed over, at mange udviklere risikerer at miste indtægter.

"Udviklere, jeres indtægter afhænger helt og aldeles af kvaliteten af jeres apps. Der vil være millioner af loyale brugere, der aldrig ville finde på at bruge tjenesten," skriver han.

At han blotter sikkerhedskullet er en god ting, mener han.

"Det er godt at påpege, at der er noget, der ikke er perfekt. Jeg hjælper alle fremadrettet. Jeg hjælper udviklere med at beskytte deres apps, og jeg hjælper Apple med at forbedre deres sikkerhed. Og så hjælperne jeg hackerne," siger han og lover at offentliggøre kildekoden om kort tid.

Hans metode betyder også, at alle, der brugere tjenesten, frivilligt overfører både deres Apple-ID og kodeord til ham. Det giver ham mulighed for at købe på deres vegne. Men det afviser han at have gjort. Han påstår, at han slet ikke logger og gemmer de data, som sendes via hans servere.

Ifølge The Loop har Apple udtalt, at der bliver set med stor alvor på den mulige brist - og at sagen undersøges.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Bravida Danmark A/S
Salg, installation og service inden for telefoni, netværk og kommunikationsanlæg.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Kom helt med på mobilbølgen

På Computerworlds Mobile Wave konference d. 2. juni kan du opleve internationale talere og få erfaringer og ideer fra de bedste mobilløsninger. Alt sammen helt gratis. Læs mere

Scandic Sydhavnen - 2450 København SV



For Danmarks CIO'er og it-ansvarlige er Årets CIO blevet det årlige eksklusive mødested. Konferencen bevæger sig ind i din verden, tager aktuelle emner op, og behandler netop de områder, som det forventes, at du har en mening om - og en holdning til. Læs mere

D'angleterre - 1050 København K



Application performance management (APM)

Har du applikationer, der genererer direkte indtjening, har betydning for din virksomheds omdømme eller medvirker til at fastholde kunderne? Så bør du interessere dig for Application Performance Management - APM som et centralt element til at styrke indtjeningen fra den digitale forretning. Læs mere

Pfizers Konferencecenter - 2750 Ballerup






Computerworld
Enmandsfirma i hosting-klemme: Hjælp! Der er blevet lukket for mine data i skyen
Efter i to uger at have været afskåret fra sine forretningsdata, der opbevares i en cloud-tjeneste, er tålmodigheden nu slut. Næste trin er fysisk besøg på adressen eller en politianmeldelse.
CIO
Efter 20 år i it-sikkerhedsbranchen: Her er fem barske sandheder fra kendt sikkerhedsekspert
Hvor reel en trussel er mobiltelefoner egentlig? Er det medarbejderne som er truslen mod firmaets data? Og hvorfor bliver amerikanske tjenester ved med at halte på sikkerheden? Få svaret når en sikkerhedsekspert taler ud til Computerworld.
Channelworld
Kendt direktør ude af stort dansk SAP-hus med dags varsel efter under et år på posten
Sammenstødet mellem dansk og amerikansk mentalitet udløser tumult på ledelsesgangen i Ciber.
White paper
Få overblik over din infrastruktur
Cisco Identity Services Engine sikrer netværksadgangen med synlighed og kontrol. Research og journalistisk bearbejdning af Computerworld for Netteam