自 iOS 3 加入 in-App Purchasing(應用程式內購買)功能後,內購資源就成為 iOS 程式開發者的重要創收方式之一。用家可支付一定金額購買遊戲內的虛擬貨幣、高級裝備,或解禁應用程式的功能。但日前一名來自俄羅斯黑客上載的影片,就讓 iOS 程式開發人員十分擔憂。
這位網名為 ZonD80 的俄羅斯黑客,在影片中展示其通過偽造 CA 證書、安裝自制的 in-AppStore.com 證書和更改 Wi-Fi 的 DNS 地址三個步驟,即攻陷 iOS 作業系統的 in-App Purchasing 功能,以往應用程式內購買的 Apple 確認對話框被替換成 in-AppStore.com 的對話框,成功繞過 Apple 的相關流程,從而實現免費取得內購資源。
而更重要的是,這種破解方式無須將 iOS 裝置 Jailbreak,早於 iOS 3 到現時最新的 iOS 6 Beta 都存在這一漏洞!但由於這一方式嚴重影響 iOS 生態環境,以及對用家隱私存在威脅,小編就不作詳細介紹,也不建議大家進行破解。如果各位感興趣的話,可以作技術性探討。
Update:
Update 2:Apple 發言人 Natalie Harrison 就此事對外國媒體 The Loop 作出回應:
App Store 的安全性,無論是對 Apple,或是程式開發者而言,都是極之重要。我們十分重視這種欺騙性的行為,並將給予嚴厲的懲戒。就是次事件,我們已開展調查工作,希望能盡快解決有關問題。
來源:9to5mac