Søg

Handl i Apples App Store uden at betale - smuthul opdaget

Alle kunne - uden at hacke - hente betalingsprogrammer uden at betale. Apple undersøger.

16. juli 2012 kl. 10.40
Artikel top billede
Kasper Villum Jensen Kasper Villum Jensen

Apple må nu bruge sommerferien til at undersøge en pinlig fejl, der kan koste Apple og mange udviklere penge, hvis den ikke straks bliver rettet.

En russer kan demonstrere, hvordan han har fundet et smuthul i App Store, der lader ham gennemføre de såkaldte in app-køb - uden at betale. Altså ekstra point i spil, abonnementer på ebøger og lignende direkte i Apples programmer.
Russeren har nu givet andre mulighed for at bruge kattelemmen. Mindst 30000 overførsler er gennemført til iPads og iPhones, uden at Apple har fået fem flade øre for dem.

Manden i midten

Russeren Alexey V. Borodins omgåelse af Apples systemer er teknisk set ikke et hack. Han har fundet en måde at snyde Apples system til at tro, at der rent faktisk er blevet betalt for et in-app-køb - uden at det er sket. Altså et man-in-the-middle-angreb.

Han kan genbruge en kvittering fra ét køb til at tillade mange falske. The Next Web har mere om metoden. Ifølge Borodin er der flere måde, at Apple kunne fikse og forbedre sikkerheden på. Så han er nu i kontakt med firmaet.

Jeg stjæler ikke

Alexey V. Borodin startede bloggen In-appstore.com, hvor han fortalte om smuthullet. Han påstår, at han ikke længere selv skriver på siden - og har overdraget den til andre, fordi han ikke vil risikere at komme i fængsel.

Men inden han overgav kontrollen med siden, skrev han, at han ikke har dårlig samvittighed over, at mange udviklere risikerer at miste indtægter.

"Udviklere, jeres indtægter afhænger helt og aldeles af kvaliteten af jeres apps. Der vil være millioner af loyale brugere, der aldrig ville finde på at bruge tjenesten," skriver han.

At han blotter sikkerhedskullet er en god ting, mener han.

"Det er godt at påpege, at der er noget, der ikke er perfekt. Jeg hjælper alle fremadrettet. Jeg hjælper udviklere med at beskytte deres apps, og jeg hjælper Apple med at forbedre deres sikkerhed. Og så hjælperne jeg hackerne," siger han og lover at offentliggøre kildekoden om kort tid.

Hans metode betyder også, at alle, der brugere tjenesten, frivilligt overfører både deres Apple-ID og kodeord til ham. Det giver ham mulighed for at købe på deres vegne. Men det afviser han at have gjort. Han påstår, at han slet ikke logger og gemmer de data, som sendes via hans servere.

Ifølge The Loop har Apple udtalt, at der bliver set med stor alvor på den mulige brist - og at sagen undersøges.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Netcompany A/S

    Microsoft Operations Engineer

    Nordjylland

    AK Techotel A/S

    Positiv systemadministrator

    Københavnsområdet

    Netcompany A/S

    Microsoft Operations Engineer

    Københavnsområdet

    Gyldendal A/S

    Er du vores næste PHP-udvikler i Gyldendal Uddannelse?

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Cloud & AI Festival

    Event: Computerworld Cloud & AI Festival

    Digital transformation | Ballerup

    Med den eksplosive udvikling indenfor cloud & AI er behovet for at følge med og vidensdeling større end nogensinde før. Glæd dig til to dage, hvor du kan netværke med over 2.500 it-professionelle, møde mere end 60 leverandører og høre indlæg fra +90 talere. Vi sætter fokus på emner som AI; infrastruktur, compliance, sikkerhed og løsninger for både private og offentlige organisationer.

    16. & 17. september 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Netip A/S har pr. 19. august 2025 ansat Marck Stadel Klaris som Datateknikerelev ved netIP's kontor i Herning. Nyt job

    Marck Stadel Klaris

    Netip A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Thea Scheuer Gregersen som Finace accountant. Hun skal især beskæftige sig med håndteringer af bl.a. bogføring og finansiel rapportering på tværs af selskaberne. Hun er uddannet Bachelor´s degree i Business Administration & Economics og en Master of Sustainable Business degree. Nyt job

    Thea Scheuer Gregersen

    Norriq Danmark A/S

    Netip A/S har pr. 19. august 2025 ansat Burak Cavusoglu som Datateknikerelev ved afd.Thisted og afd. Rønnede. Nyt job

    Burak Cavusoglu

    Netip A/S

    Netip A/S har pr. 15. september 2025 ansat Jimmi Overgaard som Key Account Manager ved netIP's kontor i Viborg. Han kommer fra en stilling som Sales Executive hos Globalconnect A/S. Nyt job

    Jimmi Overgaard

    Netip A/S

    Se mere fra navnenyt

    Mest læste

    1 Cyberangreb ramte ikonisk butikskæde med kirurgisk præcision - og nu er den svimlende store regning blevet gjort op
    2 Microsoft trækker ny funktion i Stifinder til Windows 11 tilbage på ubestemt tid
    3 Russiske hackere driller Danmark igen: DSB og flere kommuner ramt af DDoS-angreb
    4 Tatas danske landechef kæmper for at få folk til landet – men en oplevelse i en taxa lærte ham for nylig, at Danmark kan noget helt særligt
    5 Morgenbriefing: Ib Kunøe køber Columbus-aktier for millioner / Danmark og Canada indgår aftale om kvanteforskning / Dansk gave-app er den mest downloadede i USA
    6 Russisk software har kortlagt Danmark i årevis: “Det er simpelthen russisk roulette”
    7 De var hyret til at forhandle med hackere – i stedet blev de selv en del af afpresningen
    8 Frygten for Trump slår igennem blandt CIO'erne: Massiv flugt fra amerikansk cloud på vej i Europa

    Se seneste uge