Søg

Handl i Apples App Store uden at betale - smuthul opdaget

Alle kunne - uden at hacke - hente betalingsprogrammer uden at betale. Apple undersøger.

16. juli 2012 kl. 10.40
Artikel top billede
Kasper Villum Jensen Kasper Villum Jensen

Apple må nu bruge sommerferien til at undersøge en pinlig fejl, der kan koste Apple og mange udviklere penge, hvis den ikke straks bliver rettet.

En russer kan demonstrere, hvordan han har fundet et smuthul i App Store, der lader ham gennemføre de såkaldte in app-køb - uden at betale. Altså ekstra point i spil, abonnementer på ebøger og lignende direkte i Apples programmer.
Russeren har nu givet andre mulighed for at bruge kattelemmen. Mindst 30000 overførsler er gennemført til iPads og iPhones, uden at Apple har fået fem flade øre for dem.

Manden i midten

Russeren Alexey V. Borodins omgåelse af Apples systemer er teknisk set ikke et hack. Han har fundet en måde at snyde Apples system til at tro, at der rent faktisk er blevet betalt for et in-app-køb - uden at det er sket. Altså et man-in-the-middle-angreb.

Han kan genbruge en kvittering fra ét køb til at tillade mange falske. The Next Web har mere om metoden. Ifølge Borodin er der flere måde, at Apple kunne fikse og forbedre sikkerheden på. Så han er nu i kontakt med firmaet.

Jeg stjæler ikke

Alexey V. Borodin startede bloggen In-appstore.com, hvor han fortalte om smuthullet. Han påstår, at han ikke længere selv skriver på siden - og har overdraget den til andre, fordi han ikke vil risikere at komme i fængsel.

Men inden han overgav kontrollen med siden, skrev han, at han ikke har dårlig samvittighed over, at mange udviklere risikerer at miste indtægter.

"Udviklere, jeres indtægter afhænger helt og aldeles af kvaliteten af jeres apps. Der vil være millioner af loyale brugere, der aldrig ville finde på at bruge tjenesten," skriver han.

At han blotter sikkerhedskullet er en god ting, mener han.

"Det er godt at påpege, at der er noget, der ikke er perfekt. Jeg hjælper alle fremadrettet. Jeg hjælper udviklere med at beskytte deres apps, og jeg hjælper Apple med at forbedre deres sikkerhed. Og så hjælperne jeg hackerne," siger han og lover at offentliggøre kildekoden om kort tid.

Hans metode betyder også, at alle, der brugere tjenesten, frivilligt overfører både deres Apple-ID og kodeord til ham. Det giver ham mulighed for at købe på deres vegne. Men det afviser han at have gjort. Han påstår, at han slet ikke logger og gemmer de data, som sendes via hans servere.

Ifølge The Loop har Apple udtalt, at der bliver set med stor alvor på den mulige brist - og at sagen undersøges.

Læses lige nu

    Seneste nyt

    |Vis seneste uge

    Annonce

    Danoffice IT

    Infrastructure Specialist

    Københavnsområdet

    Netcompany A/S

    Senior Systemkonsulent til System Services Teamet i Netcompany Banking services

    Københavnsområdet

    Styrelsen For It og Læring

    Erfaren enterprise-arkitekt til tværgående arkitekturenhed

    Københavnsområdet

    Netcompany A/S

    Linux Operations Engineer

    Nordjylland

    Se flere it-stillinger
    Årets CISO 2026

    Event: Årets CISO 2026

    Sikkerhed | København

    Vi glæder os til at løfte sløret for flere detaljer til denne konference. I mellemtiden kan du tilmelde dig og dermed have tidspunktet reserveret i din kalender.

    22 oktober 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    Mohamed El Haddaoui, er pr. 7. april 2026 ansat hos Dafolo A/S som IT-systemudvikler. Han skal især beskæftige sig med udviklingsopgaver relateret til Brugerklubben SBSYS. Han er nyuddannet datamatiker og har erfaring med udvikling af REST API'er og integreret databaser. Nyt job

    Mohamed El Haddaoui

    Dafolo A/S

    Netip A/S har pr. 1. maj 2026 ansat Steffen Bendix Søjberg som Systemkonsulent ved netIP's kontor i Rødekro. Han kommer fra en stilling som Systemadministr,og har været i branchen i mange år. Nyt job

    Steffen Bendix Søjberg

    Netip A/S

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Se mere fra navnenyt

    Mest læste

    1 Så fede er pensionsordningerne i landets største it-virksomheder
    2 Ny digital kæmpe-organisation får 1.600 medarbejdere: Her er holdet, der skal stå i spidsen
    3 Morgen-briefing: Ukontrolleret token-forbrug sendte regning på 500 millioner dollar / Estland giver kunstig intelligens et personnummer / Næsten 4.000 robottaxaer kaldt tilbage / Tænketank maler Europas AI-kollaps op
    4 Metoderne bag Novo-hack har været helt elementære: "Noget, jeg lærer mine studerende," siger lektor
    5 Trump trækker truslen mod Anthropic tilbage: Topchefen er både "rar" og "klog"
    6 Pc-priserne stiger for alvor: Her er de gode køb til 5.000 kroner
    7 Ugen i tech: Microsoft slipper ny Surface-kollektion løs / Honda gør elbilen ekstra lille - og ekstra sjov
    8 Ingen ved, hvornår 2G lukker – og det er et problem: Derfor bør myndighederne gribe ind

    Se seneste uge