Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 147, views: 51.885 •

Apple heeft in het voorbije weekend tevergeefs getracht de dienst In-Appstore.com offline te halen. Met die dienst van een Russische hacker kunnen gebruikers in-app-aankopen doen zonder te betalen. Ontwikkelaars kunnen niets doen.

Hack iOS in-app aankopenDe hacker heeft de in-app-hack zo omgeschreven dat er geen contact meer hoeft te worden gemaakt met servers van Apple, waardoor een blokkade vanuit Apple geen zin meer heeft. De hack werkt op alle iOS-versies vanaf 3.0, dus hij kan onder meer worden uitgevoerd op de iPhone 4S, iPad 2 en nieuwe iPad. Apple heeft ook geprobeerd de dienst offline te krijgen door de hoster te verzoeken de server van de dienst offline te halen. Dat is gebeurd, maar de hacker heeft de dienst verplaatst naar een andere server, meldt The Next Web.

De hacker, Alexey Borodin, heeft een manier gevonden om apps te laten denken dat een in-app-aankoop is betaald zonder dat de betaling heeft plaatsgevonden. Ook als ontwikkelaars een extra beveiliging hebben ingebouwd door de betaling te checken, kan de hack nog plaatsvinden. Daardoor staan ontwikkelaars machteloos tegenover de frauduleuze hack. Vrijdag hadden ongeveer 30.000 mensen gebruikgemaakt van de dienst om in-app-aankopen niet te hoeven betalen, aldus de hacker.

De dienst vereist nu bovendien dat gebruikers uitloggen van hun iTunes-account. Volgens de hacker is dat gedaan zodat niemand kan vermoeden dat het iTunes-wachtwoord wordt meegestuurd naar de server van de hacker. Het is onduidelijk welke gegevens wel worden meegestuurd. De hack vereist dat de dns-instellingen op de telefoon worden gewijzigd en dat de gebruiker twee profielen installeert. Een jailbreak of installatie van bepaalde software is niet nodig om de hack uit te voeren.

Reacties (147)

Reactiefilter:-11470128+171+28+30
Totdat er een update komt van Apple die automatisch alle IAP's controlleert bij sign in op de appstore...
Eigenlijk is dat ook een beetje de taak van ontwikkelaars... De post hier op Tweakers zegt wel dat de ontwikkelaars niks kunnen doen maar dat is niet waar: de ontwikkelaars kunnen gewoon alle IAPs via hun eigen server laten controleren. Met een jailbreak was de IAP namelijk sowieso al een beetje te omzeilen.
Apple biedt de dienst aan, waarbij de hacker nu de dienst heeft gekraakt. En dat is dan de schuld van de ontwikkelaar? Want die moet Apple niet op zijn blauwe ogen geloven?
Nee, ontwikkelaars moeten van een betalings systeem niet de helft van de API implementeren. Dit functie wordt niet alleen gebruikt voor het veriferen maar ook dat als de gebruiker de App opnieuw installeerd dat de App weet dat de gebruiker ooit de in-app-purchase heeft gedaan. En de die functie niet nog een keer gedaan moet worden.

Waar je boos om moet worden is dat die ontwikkelaars gewoon hun werk slech hebben gedaan met als gevolg dat je klanten kan benadelen.

Bijvoorbeeld het adobe teken paket op de iPad kent layers, deze moet je via iap inschakelen. Hadden ze het niet geimplementeerd dan waren gebruikers die het opnieuw gingen installeren benadeeld omdat ze het weer moeten kopen vanwege de ontbrekende verificatie.
Dus alle ontwikkelaars moeten een eigen server hebben? Dat kost niet niks hoor.
Dus alle ontwikkelaars moeten een eigen server hebben? Dat kost niet niks hoor.
Niet alle ontwikkelaars zullen beschikken over een mogelijkheid iets er aan te doen, maar ze staan ook niet allemaal compleet machteloos, zoals wel word gesuggereerd.
Nee, ze hoeven geen server te hebben het is een betalings verificatie met Apple. Zie mijn uitleg hierboven

[Reactie gewijzigd door ronaldmathies op 16 juli 2012 15:32]

De kosten voor een server die alleen verificatie uitvoert zijn niet zo hoog. Menig webserver krijgt meer load en dataverkeer voor z'n kiezen. Een virtuele bak bij een hosting provider zou al een heel eind moeten komen.

Daarnaast is het natuurlijk een keuze. Als je een enkele aankoop hebt is het de moeite en kosten natuurlijk niet waard. Bij een serieuze(re) app zal de ontwikkelaar dit toch wel even moeten overwegen.

Naar mijn mening lijkt het op de beveiligingsissues bij menig website: zolang alles werkt is het prima en als het gehackt wordt zien we wel weer..
Inderdaad, met kleine file en wat verificatie kan je best in-app-aankomen voor rechtmatige klanten controleren. Het gaat natuurlijk fout het moment dat je alle tools in de applicatie steekt en via ťťn grote (dus universeel te hacken) dienst laat controleren.

Niet dat dat vragen op problemen is per definitie, maar als je wilt dat je product niet gestolen wordt, moet je het deels in eigen beheer houden. De vergelijking met een de gemiddelde website gaat hier inderdaad helemaal op.

==

Maar dan wat anders: ik begin steeds meer een hekel te krijgen aan in-app-aankopen. Het heeft in veel gevallen teveel weg van release-day-DLC's. Ontwikkelaars die moeilijke spellen uitbrengen en vervolgens een pay-to-win optie inbouwen vragen er een beetje om naar mijn mening. Zeker als je vervolgens honderde dollars dient te betalen. Wie wil er nou toch voor $100 aan ingame puntjes uitgeven!? Die optie is bijna alleen maar aanwezig met de hoop dat een jong kind deze perongeluk gebruikt en zo de Creditcard van de ouders belast.
Gezien de berichten in het verleden over de strenge voorwaarden die Apple hanteert met betrekking tot Apps zou het me niets verbazen als ontwikkelaars verplicht zijn om de infrastructuur van Apple te gebruiken voor IAPs. Dan is het een beetje vergezocht om ook nog eens een eigen, redundante server op te zetten. Temeer daar Apple zichzelf misschien wel indekt met disclaimers tegenover ontwikkelaars, maar er uiteindelijk heel veel belang bij heeft dat dit soort fraude bestreden wordt. Waarom zou je dat dan als ontwikkelaar niet lekker een Apple over laten?

Overigens waren er in maart 2011 al berichten over fraude met in-app aankopen: nieuws: Ontwikkelaar: 40 procent in-app aankopen iOS is frauduleus
Dus echt nieuw is dit verschijnsel ook niet, het verschil is vooral dat Apple vooralsnog niet bij machte is om er iets tegen te ondernemen.
Inderdaad, neem het nog een stapje verder als Apple niet verantwoordelijk is, waarom proberen ze het te voorkomen? Misschien dat het inderdaad een half-bakken Api is maar waarom is het dermate slecht geimplementeerd dat dit kan gebeuren? Misschien dat de ontwikkelaars hier een handje naar hebben maar omgekeerd Apple zelf is zeker ook niet onschuldig in deze situatie. Jammer genoeg dat het allemaal nogal in het duister blijft en dat Apple die hier waarschijnlijk meer vanaf weet zoals gewoonlijk niets openbaar maakt. Het is weer een typische situatie waar de ontwikkelaar dit keer de dupe is en hier ook weinig invloed op kan uitoefenen totdat er helderheid wordt geschapen.

Overigens is dit wel een blammage ik ben benieuwd wat hier de gevolgen van zijn. Enerzijds financieel, verlies in aankopen is lastig aan te tonen, anderzijds het zicht van Apple zelf. Ik kan me voorstellen dat als ontwikkelaar zijnde je nog wel eens achter je oor krabt bij iOS.
Ontwikkelaars kunnen er wel iets aan doen. Het zijn net ontwikkelaars die niet de instructies van Apple volgen die de dupe zijn. Beetje dom dan om te zeggen dat het een blamage is voor Apple en dat ontwikkelaars achter hun oren zullen krabben bij iOS.

Lijkt me eerder dat ontwikkelaars wat nauwer gezet de instructies zullen volgen die Apple hen meegeeft zodat iOS voor hen niet de Android ervaring krijgt waar piraterij gewoon de norm is.
Als ze niet de instructie van apple volgen....waarom laat apple dit dan toe in zijn market.
Net als alle andere apps die niet volgens de regels van apple zijn gemaakt worden hier toch op getest?.....Dus of apple is dus NIET consequent, of apple is mede verantwoordelijk van deze omzeiling.....
Inderdaad.. Apple moet minstens een quadcore in zijn nieuwe toestel zetten om het oude toestel van Samsung te evenaren.. Of wacht.. Was t niet andersom?

Daarnaast heeft Apple gewoon een verificatie mogelijkheid ingebouwd die ontwikkelaars zelf in kunnen bouwen, helaas was Apple niet streng genoeg door dit te verplichten dan was dit niet gebeurd.

Maar goed, gelukkig doet Google t zo goed en hebben ze geen enkele mogelijkheid tot illegaal downloaden
Niet om het een of ander maar wat is er mis met een OS bouwen uit open source software? Waarom lever je half werk af als je goed werkende open source in je product integreert? Een hoop Linux distributies zijn volledig open source. Wat jouw mening is over Linux mag je lekker voor je laten, maar het is een feit dat het het meest gebruikte OS is voor webservers, dus dan kan het nooit rommel zijn. Waarom zou Apple dan wel rommel zijn als ze dezelfde software gebruiken?
Ik ben het met je eens dat Apple meuk niet altijd goed in elkaar zit (zo vind ik iTunes een draak van een applicatie), maar waarom je open source er bij haalt is me niet duidelijk.
Misschien moet jij eens een cursus begrijpend lezen volgen.

Er is niets mis met het gebruik van open source software en Apple heeft juist geluk dat veel van hun Open source software goed functioneert. Het valt alleen op dat alles wat apple zelf doet, vaak een puinzooi wordt. En dat is wat er ook stond.

Ik wijs zelfs een aardig deel van het succes van Apple toe aan Open source software. Maarja, dat jij niet kunt lezen, kan ik ook niet helpen.
en hoe zit het dan met iAP-cracker? http://ipad-os.net/iap-cracker-deb-official-source/ Hiervoor is het niet nodig om aanpassingen aan DNS te doen en ook het iTunes wachtwoord hoeft niet te worden gebruikt.
Maar als een ontwikkelaar dan bevestiging vraagt van de betaling dan werkt iAP-cracker niet meer, dat is bij deze hack dus wel het geval en een jailbreak is niet eens nodig.
De hacker, Alexey Borodin, heeft een manier gevonden om apps te laten denken dat een in-app-aankoop is betaald zonder dat de betaling heeft plaatsgevonden. Ook als ontwikkelaars een extra beveiliging hebben ingebouwd door de betaling te checken, kan de hack nog plaatsvinden.
zal apple blij mee zijn. zo te zien kunnen hun er weinig tot niks tegen doen, en ontwikkelaars nog minder. word weer paar weken flamen op apple vanwege veiligheids issue's ben ik bang voor.

wel knap gedaan van de beste hacker als er tot nu toe eigenlijk niks tegenin te brengen is, en vind t slim van m dat hij je laat uitloggen op itunes.
Ontwikkelaars kunnen wel wat doen en dat is gewoon de in-app-purchase correct implementeren en veriferen of de betaling correct is gegaan.

Het probleem ontstaat alleen bij gebrekkige implementatie van de in-app-purchase api.
Ook als ontwikkelaars een extra beveiliging hebben ingebouwd door de betaling te checken, kan de hack nog plaatsvinden.
RTFA?
Ligt eraan welke simpele API Apple daarvoor beschikbaar heeft gesteld.

Juiste implementatie van SSL/Certificaten om zo juiste authenticatie te forceren met de server van Apple/AppVendor, en deze hack heeft niet zoveel zin meer. Maar of Apple dat toestaat/toelaat, is de vraag.
Nee, het is niet moeilijk, ja het is toegestaan, sterker nog, de documentatie geeft juist aan dat Apple het adviceert juist om dit te doen.
Nope, dat kan ook worden omzeilt. iOS6 lost dit alles gewoon op overigens, denk dat ze die dus sneller gaan pushen.
Tis maar goed dat hij op alle iphones geinstalleerd kan worden!

Oh wacht .. :+
Tsja, dat is inderdaad dan weer een probleem, maar me dunkt dat developers niet zoveel zullen verliezen aan toestellen die nu alweer een aantal jaar oud zijn, velen hebben dan inmiddels wel een nieuwe model. Verder zou je als developer een andere oplossing kunnen verzinnen, zoals in-app verkoop uit je app halen en de app duurder maken. Minder prettig voor de consument, maar kan een goede oplossing zijn.

[Reactie gewijzigd door vgroenewold op 16 juli 2012 14:33]

Tis maar goed dat hij op alle iphones geinstalleerd kan worden!

Oh wacht .. :+
Oh wauw, iOS 6 kan niet meer geinstalleerd worden op de iPhone en de iPhone 3G. die zijn al... hoe lang niet meer te koop? en hoeveel apps kun je daar nog mee kopen?

Ik denk niet dat mensen van die kleine hoeveelheid gebruikers nog echt wakker gaan liggen.
iOS 5 kan al niet meer geÔnstalleerd worden op die toestellen en iOS4 is onwerkbaar traag op de 3G. Het gaat hier over de 3GS die nog steeds te koop is in de Apple store (maar bij de introductie van de iPhone 5 uit het assortiment gaat.

We praten dus over een toestel wat nu gewoon nog te koop is.

Al is de ondersteuning van drie jaar voor de 3Gs natuurlijk stukken beter dan die van vele andere telefoonfabrikanten
De 3GS krijgt dan ook gewoon ios 6.
Kleine hoeveelheid gebruikers? Het merendeel van de gebruikers doet nooit een update, dus ook niet naar iOS6. Het zullen net de mensen zij die deze hack gebruiken die nooit naar iOS6 zullen overgaan. Daar al eens aan gedacht?

[Reactie gewijzigd door aval0ne op 16 juli 2012 15:19]

Volgens Apple's eigen cijfers draait het merendeel van de gebruikers anders op iOS 5. (met uitzondering van de iPhone en iPhone 3, waar geen iOS 5 versie voor is)
Het merendeel van de gebruikers doet nooit een update, dus ook niet naar iOS6.
Als je een dergelijke claim maakt, ondersteun dit dan met data. Apple's data (gepresenteerd op de recente keynote) en die van veel webstatistiek bedrijven, spreken je claim tegen: iOS gebruikers updaten misschien wel het snelst van alle OS.
Bij iOS voert een overgrote meerderheid een update uit. Het is dus een mythe dat smartphone gebruikers hun telefoon niet updaten als ze daar de mogelijkheid toe hebben.

En de hele kleine minderheid die niet update zal zich zeker niet gaan bezighouden met het installeren van deze hack.
Hoeveel procent van de iPhones is dat? Bijna niets.
De meeste app developers gaan ook echt niet verder terug dan de 3GS.
"iOS6 lost dit alles gewoon op overigens"

Oh? De hack is juist op IOS6 gedemonstreerd:
de ontwikkelaar toont de hack op een iPhone 4S met iOS 6
Bron
iOS6 is nog in beta, dus kan er makkelijk een nieuw, beter mechanisme ingebouwd worden voor de release in de herfst
Dat is nog maar de vraag.
Een jailbreak is niet vereist; de ontwikkelaar toont de hack op een iPhone 4S met iOS 6, waarvoor nog geen jailbreak publiekelijk beschikbaar is. De hack zou ook moeten werken op een iPad of iPod touch, met iOS-versies 3.x tot 6.0.
Maar dan installeren de mensen die liever gratis in app aankopen doen toch gewoon niet iOS6.

Ik vermoed dat ze toch echt een oplossing moeten gaan zoeken die deze hack onmogelijk maakt, ook voor telefoons die niet geupdate gaan worden.
Tsja... die oplossing is er niet.... zonder update zal ook de update die de oplossing moet gaan bieden niet opgehaald worden. En het is nou eenmaal een softwarematig issue.
Het systeem van Apple heeft anders al jaren zonder problemen gewerkt, dus dat is ook weer erg overdreven. Developers voor iOS verdienen ook nog eens het meest, dus ja er moet een oplossing komen, maar anders verzinnen developers wel een andere manier.
De enige manier waarop Apple geld verdient, is als de IAP via hun systeem verlopen, dus dit is wel degelijk een probleem voor Apple.
Lol, moet je Android zien waar piraterij een sport op zich is geworden en waar ontwikkelaars helemaal niks verdienen.
Een uitspraak van digibeet die IT pagina's leest?

Als er een bedrijf kunde heeft en dingen goed voor elkaar dan is het Apple wel.
XCode is daarbij een prachtig ontwikkelomgeving waarmee Objective C al als derde plek van de programmeertalen staat genoteerd.

Je flamen toont je onwetendheid en onkunde aan ...
Tja, het is natuurlijk altijd riskant om een hack te misbruiken als je afhankelijk bent van third party. Hoe vaak ben je als user wel niet een crack tegen gekomen waar een trojan in zat of een worm. (ik als rechtgeaarde gebruiker natuurlijk nooit :+ )

That said, schijnbaar is de hack er nog wel even 'to stay' tot Apple rigoreus ingrijpt en iOS 6.1 ofzo uitbrengt en geforceerd upgrade laat doorvoeren aangezien deze hack buiten Apple iOS om werkt.
Zover ik deze "hack" begrijp is het gewoon een 3rd party dns server die de servers die gebruikt worden voor aankopen naar een ander IP adres verwijst. Het enige dat Apple hier tegen zou kunnen doen is de communicatie met de iap server veiliger maken (controleren dat het ook echt die server is, bijvoorbeeld met ssl keys). Maar daarvoor zal de hele structuur van iap aangepast moeten worden en dat gebeurt niet even binnen een dag.
Dus Tweakers mag geen verslag meer uitbrengen van een vrij groot mankement in iOS? Ik lees nergens iets dat het gebruiken van deze hack promoot.

[Reactie gewijzigd door deephallow1 op 16 juli 2012 14:19]

Het is gelukkig geen diefstal en er wordt ook niks gepromoot, dat dat jouw ongefundeerde mening is maakt het gelukkig geen feit.

Als er een lek in welk OS dan ook is is het gewoon nieuws dus goed dat tweakers niet terug deinst als het nu een keer zwaar negatief om iOS gaat :)

Waar heb jij last van precies? Heb jij een betaalde app gemaakt voor iOS? Heb je veel minder inkomsten ineens?

[Reactie gewijzigd door watercoolertje op 16 juli 2012 14:21]

Nee, dat valt mij nu juist zo op, Android topics zijn stukken rustiger van toon in het algemeen.
Het is gelukkig geen diefstal
Fraude is ook gewoon een misdrijf hoor.

En er is ook makkelijk sprake van aanzienlijke schade.
Waarschijnjlijk veel groter dan met gewone diefstal mogelijk is.
Klopt, maar fraude != diefstal ;)
Fraude is een misdrijf, diefstal wordt veel lager gestraft:
Fraude
Artikel 326 WvS
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. (= §78.000 max)

Diefstal
Artikel 310 WvS
Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan diefstal, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie. (= §19.500 max)
Is het aanpassen van jouwn eigen gekochte systeem om dingen te kunnen die het niet kon ook fraude? Dan moet ik toch maar een andere professie vinden ;) i.v.m, programmeur.. Het is een locale hack, Dus geen fraude toch??

[Reactie gewijzigd door kajdijkstra op 16 juli 2012 15:34]

Het is geen fraude en geen diefstal, het is tegenwoordig gewoon in om "over the top" te reageren.
je snapt zelf ook wel dat dit een frauduleuze handeling is teneinde er zelf voordeel van te hebben
Nee, het is geen fraude of diefstal, het is piraterij. Het is hetzelfde als applicaties gebruiken zonder licentie.
Natuurlijk is het doel om er zelf voordeel van te hebben, maar ergens voordeel van hebben is niet illegaal. Ik heb ook voordeel van het loon wat ik verdien met mijn baan, en toch ben ik niet bezig met fraude, diefstal, piraterij of iets anders in die geest door mijn baas voor mijn werk te laten betalen.
Degenen hierboven zijn gewoon sensatiezoekers die overtrokken reacties willen posten.
Kom op; het is over het hele internet breed in het nieuws; denk je nou echt dat mensen die site niet zouden vinden anders? Imho is er weinig schade door dit te melden.
Het zou op zijn minst gepast zijn om te melden in het artikel dat gebruik maken van deze dienst mogelijk strafbaar is en heel zeker onrechtmatig (civielrechtelijk).

Dit kan je zelfs je iTunes account kosten als Apple achteraf in app aankopen van bedrijven gaat leggen naast de daadwerkelijk betalingen.

[Reactie gewijzigd door hAl op 16 juli 2012 14:22]

Kom op zeg.. Waar is het einde wanneer je bij ieder nieuwsbericht moet gaan vermelden of iets wel of niet wettelijk is toegestaan. Als er iemand een moord gepleegd heeft moet er bij vermeld worden dat dit zeer onaardig is, en bovendien niet toegestaan(strafrechtelijk)?

[Reactie gewijzigd door MaZeS op 16 juli 2012 14:26]

Reken er maar op dat men hun account kwijtraakt.
Dit is niks anders dan diefstal waar ontwikkelaars hun boord mee proberen te verdienen.

De server van de Rus wordt gewoon in beslag genomen.
En degene die denken er geen gegevens naar de server verzonden zijn naÔef ... dit is
gewoon een trojan verpakt in een ander jasje.

Je stelt hiermee je mobiel open en bloot, domste wat je kan doen.
Dit is geen diefstal, er wordt niks weggenomen. Dit is piraterij. En als je het verschil niet snapt heb je waarschijnlijk de site van brein te lang doorgelezen.
Dat slaat nergens op. Moet nu.nl ook bij ieder bericht over moord/bedreiging/etc vermelden dat zulke praktijken niet zijn toegestaan volgens de wet?
Tweakers.net is een nieuwssite, dit is nieuws wat op een neutrale manier wordt gepresenteerd, als jij zelf niet zo snugger bent om te begrijpen dat dit geen legale en toegestane manier is om in-app aankopen te doen dan is dat jouw fout.

We gaan steeds meer naar een samenleving toe waar voor ieder wissewasje een disclaimer en een melding moet komen omdat mensen niet nadenken over dingen (iets met een kat in een magnetron)
Oftewel naar een samenleving zoals in de VS...
De kans dat er een controlerondje komt nadat deze app offline is gehaald lijkt me inderdaad vrij groot. De gemiddelde gebruiker voelt ook wel aan dat dit niet fair is dus zo'n check mag ook weinig stof doen opwaaien (als ze dat zorgvuldig doen).

Apple moet dit wel snel oplossen, en goed, om het vertrouwen van in-App aankopen via Apple te houden. Als ik een of andere specialistische App met dure aankopen daarbinnen zou hebben zou ik dit snel gefixed willen hebben, en onterechte aankopen teruggedraaid willen zien. Anders kan je beter weer aan de slag met kopen van codes via iDeal of Creditcard ofzo, en daar zit volgens mij niemand op te wachten.
Laten we anders alles censureren wat tegenstrijdig is met de wil van grote bedrijven :D
Mja, dat is altijd een beetje het twijfelachtige recht om te kunnen melden wat je wilt in de journalistiek. Hier vind ik het overigens geen probleem, het is een probleem van Apple en het nieuws was al bekend. Maar wanneer het gaat om gezichten en namen van veroordeelden of verdachten, dan gaan ze vaak veel te ver m.i., ook al is het nieuws ergens anders al bekend, dan doe je daar gewoon niet aan mee.

[Reactie gewijzigd door vgroenewold op 16 juli 2012 14:21]

Mooie flamebait uiteraard. Maar dit valt natuurlijk gewoon onder correcte journalistiek.

VNU zal juist blij mee moeten zijn! Het houd in dat Tweakers netjes zijn werk doet en onafhankelijk nieuws levert.

Als ze dit niet zouden (mogen) doen is het in strijd met de persvrijheid en zou zelfs beargumenteerd kunnen worden dat het censuur is.
Nieuws hoort toch ongecensureerd en zo objectief mogelijk gebracht te worden? Het kan niet zo zijn dat nieuws juist niet geplaatst wordt vanwege een belangenverstrengeling. Zo kun je alle nieuws over misdaad en criminelen niet vermelden, want dat promoot in jouw optiek ook de verkeerde zaken.

For the record, ik heb geen iPhone of iets anders waar gebruik kan worden gemaakt van deze hack.
Proef ik daar zuur? Want valt dit niet gewoon onder nieuwsgaring? Of mogen 'wij' niet meer weten wat er in de tech-wereld gebeurd? Ik begrijp dat Apple "al het geld er voor in zou willen zetten" om dit te voorkomen, maar hey: That's life.
Je hebt allemaal te maken met positieve en negatieve kanten van hackers e.d.

Als je bang bent voor dit soort nieuwsberichten, vergeet dan Tweakers.net. Wees niet bang om te incasseren.
zat ook die richting te denken eigenlijk maar eigenlijk brengen ze gewoon nieuws, nieuws heet van de naald en kan me best voorstellen dat zoals hierboven al is aangegeven er wel een paar die iAP crack eens gaan proberen of deze.

Je kan tweakers onmogelijk beschuldigen van het al dan niet meedelen van dit nieuws GetBack, deze topic zal een hoop reacties opleveren en dus meer bezoekers en dus meer opbrengsten voor reclame adverteerders op deze website, de eene zen dood is de andere zijn brood...

voor android bestaat er ook zo iets trouwens waar je gekraakte apk's kan downloaden met de naam http://snappzmarket.com/, daarna staan de gedownloade apps ook in de playstore geinstalleerd ook raar toch omdat het om een installatie gaat buiten de playstore verkregen op illegale manier, maar toch herkent op een officiŽle store
Punt 1; dit is geen diefstal. Bij diefstal worden er producten ontvreemdt, dat is niet wat hier gebeurt.
Punt 2: heb je liever dat Tweakers het nieuws gaat censureren omwille van VNU? Dus dat we hier nooit meer iets te lezen krijgen wat VNU wellicht onwelgevallig is?

OT: hopen dat Apple hier snel wat op vindt. Dit soort hacks zijn voor de gebruikers altijd wat riskant aangezien je niet weet welke informatie er allemaal naar de hacker in kwestie gestuurd wordt.
Een paar opmerkingen over jouw opmerking:

1. Wij maken geen reclame voor diensten, wij schrijven over grootscheepse fraude op een veelgebruikt mobiel platform. Gebruikers willen hierover informatie en ontwikkelaars des te meer; zij worden wellicht immers direct financieel getroffen.

2. Wij linken niet naar de site van de hacker in kwestie. Uiteraard kun je hem wel vinden adhv informatie in dit artikel, maar je kunt niet doorklikken.

3. VNU - dat overigens niet meer bestaat en een divisie van de Persgroep is geworden onder Persgroep met als naam VNU Vacture - heeft niets te zeggen over de journalistieke lijn van Tweakers.net. Ik denk eerlijk gezegd dat het ze ook niets kan schelen.

4. In het artikel van vrijdag staat al een waarschuwing om deze dienst niet blind te gebruiken zonder te weten welke gegevens van je worden doorgesluisd. Ik neem aan dat alle lezers bovendien het ethische besef hebben dat ze ontwikkelaars van wie ze apps kennelijk leuk vinden met deze hack direct financieel treffen.

5. Er wordt niet iets gestolen; er wordt gefraudeerd.
De gemiddelde reactie op tweakers lezend wil ik het slot van punt 4 toch nog wel Arnoud, maar wellicht ben ik te pessimistisch en hebben de meeste lezers dat besef wel, maar horen ze, net als ik, bij de zwijgende meerderheid.
Tenslotte is het ook niet ethisch om de makers van creatieve werken geen vergoeding te geven voor hun werk, maar is dacht ik de gemiddelde forum-consesus dat gratis downloaden ethisch absoluut geoorloofd is, ook als je niet al op een of ander medium voor de muziek/film hebt betaald.
Goede aktie van Tweakers om reclame voor dergelijke "diensten" te maken. VNU zal blij zijn dat een onderdeel van het bedrijf zo deze vorm van diefstal promoot.
Dit is gewoon nieuws?
Of heb jij ook de neiging om de drankwinkel te overvallen als je dat op het 8uur journaal hoort?
Dit is een typische "man-in-the-middle"-attack. Lijkt me dat Apple dit met iOS6 onmogelijk gaat maken.

Wat er gebeurt is dat de gebruiker, door middel van installeren van certificaten en wat dns-instellingen, de servers van Borodin erkent als Apple-servers. Er vindt blijkbaar geen uitwisseling van een shared secret/keys plaats voor authenticatie. Alleen maar of ze "erkend" zijn door het apparaat zelf.

Op zich denk ik dat ontwikkelaars zich niet zo'n zorgen hoeven te maken. Het is gewoon een versie van piraterij waar ze al last van hadden, degene die dit gebruiken zouden toch al niet betalen voor hun applicaties/diensten. Of het nou het illegaal kopieren van apps is, of het feit dat mensen gratis smurfbessen inslaan, maakt niet veel uit.

Het enige waar je nog wat aan zou willen doen is dat het hacken niet zorgt voor valsspelen in player-vs-player games.
Dit is een typische "man-in-the-middle"-attack. Lijkt me dat Apple dit met iOS6 onmogelijk gaat maken.
De hack is gedemonstreerd met IOS6 |:(
iOS6 is nog in beta en wordt later dit jaar pas verwacht. Tijd zat voor Apple om een fix te implementeren lijkt mij.
Ja, een van de betas. Grote kans dat ze voor de final nog een fix verzinnen...
We zitten nu op beta 2. Ik verwacht dat we voor de GM nog 2 of 3 beta's zullen krijgen.

daarnaast propt Apple nooit alle nieuwe features in de beta's, ze laten graag wat surprises achterwege, die ze wel met interne builds beta-testen.

Aan de andere kant zou je best een punt kunnen hebben, omdat een fix hiervoor potentieel best pittig zou kunnen ingrijpen op de API's.
Ja, een van de betas. Grote kans dat ze voor de final nog een fix verzinnen...
Nee, want dan fix je niets voor de iphone die geen iOS6 hebben.
[...]

Nee, want dan fix je niets voor de iphone die geen iOS6 hebben.
wat alleen de iPhone en de iPhone 3G is, en de iPad 1. Alles vanaf de 3GS en de iPad 2 krijgt iOS 6.
Ach het was een kwestie van tijd voor iemand er mee zou komen het is nu eenmaal een digitaal verhaal waar de communicatie over simpele verbindingen verloopt en er maar zeer weinig echte controle uitgeoefend kan worden op wat wel en niet correct is.

Ik denk dat Apple in een volgende versie hoe dan ook altijd vereist dat er een goedkeuring plaats zal vinden via de Apple wervers en een telefoon specifieke sleutel etc... op die manier kunnen ze hoe dan ook altijd voorkomen dat dit soort dingen gebeuren (tenzij de private key uitlekt natuurlijk)

Het is niets anders dan dom van Apple om het proces zo op te zetten want er is nu eenmaal geld mee gemoeid en dus is het de moeite waard om het te hacken als is het maar omdat je wereldwijd in het nieuws komt op die manier.
Omdat de hacker slim genoeg is om er zelf niets aan te verdienen zal een rechtszaak tegen de goede man waarschijnlijk op niets anders dan een zielige vertoning voor Apple uitkomen. Een beetje de kleine man pesten maar anders dan een foei niet meer doen zal hij er waarschijnlijk niet aan overhouden. Kale kip en meer van dat soort dingen...
Ik denk dat Apple in een volgende versie hoe dan ook altijd vereist dat er een goedkeuring plaats zal vinden via de Apple wervers en een telefoon specifieke sleutel etc... op die manier kunnen ze hoe dan ook altijd voorkomen dat dit soort dingen gebeuren (tenzij de private key uitlekt natuurlijk)
Probleem met deze in-app aankopen is dat er enkel een 'boolean' van 'aangekocht' moet worden omgezet. De implementatie is er al dus je hebt geen extra's nodig om je in-app aankoop te activeren. Een mogelijke oplossing is dat wanneer je een in-app aankoop doet, je je app moet updaten met het stukje software wat dat deel mogelijk maakt. Anders zul je nog steeds die 'boolean' kunnen omzetten.

Dit wordt misschien minder makkelijk wanneer de aankoop geverifieerd wordt op de server van Apple, echter, zal bij gejailbreakte iOS-devices, dit nog steeds mogelijk blijven.

Een voorbeeld van een goede in-app beveiliging zijn de aankopen in de TomTom. Die worden op je account bijgeschreven en er wordt gecontroleerd of je daadwerkelijk toegang hebt tot de data van bijvoorbeeld flitsers en files.

Edit:
Verder is het natuurlijk niet handig dat je altijd internet zou nodig moeten hebben om je in-app aankopen te 'synchroniseren' elke keer als je een app opnieuw opstart.

[Reactie gewijzigd door highmastdon op 17 juli 2012 11:57]

Ik vind het vooral erg dat kleine/onafhankelijke developers hiervan de dupe worden. Dat Apple of een andere multinational hier last van heeft daar zit ik wat minder mee, maar vooral voor kleine developers is dit gewoon heel erg.

En ja, het is met 2 maten meten maar Apple komt er wel weer bovenop als ze de inkomsten van 30.000 in-app aankopen mislopen. Voor een kleine developer komt dit veel harder aan.
En ja, het is met 2 maten meten maar Apple komt er wel weer bovenop als ze de inkomsten van 30.000 in-app aankopen mislopen. Voor een kleine developer komt dit veel harder aan.
30.000 in-app aankopen is echt NIKS, dat is wat Apple per uur of korter ongeveer verwerkt :)

Daarbij is ook niet elke via die site gedownloade app anders gekocht dus het getal zegt helemaal NIKS eigenlijk...

[Reactie gewijzigd door watercoolertje op 16 juli 2012 14:52]

Heb je onlangs nog eens gekeken waarvoor de pakketten 'Smurfberries', Energie, Gems, Diamantjes, Goldcoins etc voor de verschillende spellen verkocht worden? Om een actie te versnellen wordt doorgaans 1 tot 5 'special coins' of vergelijkbaar gevraagd. De meest gehanteerde prijzen voor pakketten van die dingen zijn:

20 coins voor § 2
50 coins voor § 4
150 coins voor § 10
500 coins voor § 25
2500 coins voor § 100

Als er dan nu een methode is om gratis in app aankopen te doen, mag jij raden welk pakket door de ge-/misbruikers zal worden 'aangekocht'...

Stel dat er inderdaad slechts 30.000 maal een aankoop gedaan zou zijn. Ik vermoed dat zeker 2/3 daarvan in spellen zal zijn. Zijn er dus zo'n 20.000. Maal een pakket van § 100 en je zit al op § 2 miljoen.

De hack is nog niet verholpen en de aandacht en bekendheid groeit. Als alle ontwikkelaars, voor zover zij uberhaupt kunnen vaststellen of iemand items verkregen heeft met deze hack, de misgelopen inkomsten claimen bij Apple, dan zou dat wel eens een miljoenenclaim kunnen gaan worden.

edit: rekenfoutje gecorrigeerd

[Reactie gewijzigd door AllSeeyinEye op 16 juli 2012 15:57]

20 coins voor § 2
50 coins voor § 4
150 coins voor § 10
500 coins voor § 25
1250 coins voor § 100
die 1250 coins voor §100 koopt niemand toch? Koop je 4x een pakketje van § 25 en je hebt er 2000 :)
Dat is een beetje de redenering van de muziekindustrie: aanschafkosten van het aantal illegale downloads = totaalbedrag gemiste inkomsten.

De realiteit is dat het gros van die illegale downloads nooit legaal zou zijn aangeschaft door de downloaders. Dat geldt hier net zo goed en misschien nog wel meer, dikke kans dat die 30.000 downloads van mensen zijn die speciaal een app hiervoor gedownload hebben omdat ze nu gratis DLC kunnen vangen en het anders fijn links hadden laten liggen.

Totally OT: Ik vind dat apps in de App store een indicator zouden mogen krijgen of ze dit soort DLC bevatten. Erg irritant, zeker in paid apps.
Ik denk dat je behoorlijk dom moet zijn om jezelf te laten verleiden door deze hack. Je geeft een totaal onbekende partij wel heel veel informatie over jezelf. Als ik het goed begrijp zelfs je Apple-ID en je wachtwoord. Leuk dat het kan allemaal, maar een waarschuwing lijkt me wel op zijn plaats.
Een extra accountje maken en klaar is kees.
In het artikel staat:
De dienst vereist nu bovendien dat gebruikers uitloggen van hun iTunes-account. Volgens de hacker is dat gedaan zodat niemand kan vermoeden dat het iTunes-wachtwoord wordt meegestuurd naar de server van de hacker.
Ontwikkelaars kunnen niets doen.
Ontwikkelaars kunnen wel wat doen, namelijk Apple's iAp verificatie-methode gebruiken. Dan blijkt het niet mogelijk om de hack uit te voeren. Een soortgelijke hack was al tijden mogelijk via jailbreak en werkte ook alleen bij app's die niet van de verificatie-methode gebruik maakte. Het voordeel van het niet gebruiken van de methode is dat je geen internet nodig hebt.

Ik weet niet of je dit als lek kan zien in iOS, zoals veel dat zien. Enerzijds dient Apple dit op te lossen, anderzijds is ligt schuld ook bij ontwikkelaars zelf door een offline/niet-apple verificatie te gebruiken. Volgens mij weten we allemaal wel dat vertificatie die offline gebeurd vaak makkelijk te kraken blijkt, kijk naar grote software producten als de Adobe CSS-suits of Autocad. Ik ben dan ook zelf voorstander van online-verificatie.

Vraag me ook af of het verstandig is je Apple-ID over te geven aan een Russische hacker, helemaal al staan hier betalingsgevens in zoals creditcard. Voor die 0,79 euro snap ik sowieso al niet dat je wil hacken, al zal het vaak om spelletjes gaan zodat mensen gratis en makkelijk verder komen. Betaal gewoon, zou jij ook willen als je ontwikkelaar was.

@Haaguit: Klopt, heb je gelijk in. Maar toch vind ik dat niet een veilig systeem. Nou zullen de 'pro's' de software gewoon kopen maar er zijn genoeg mensen die er een keygen of wat dan ook overheen gooien.

[Reactie gewijzigd door JoeriBlaau op 16 juli 2012 15:36]

Je weet niet fascisme is. Gebruik niet zulke zware woorden zonder te weten wat ze betekenen.
Wat hij bedoeld te zeggen is dat waar het oude software model een democratisch model was. Apple een dictatoriaal systeem heeft gecreŽerd om hun eigen belangen te ondersteunen. Elke app moet worden goedgekeurd door apple. als een app niet in hun belang is, Kunnen ze het tegenhouden, Ze kunnen gewoon zeggen dat het onveilig is of ongewenst. Ik denk dat het toch een goede vraag is of het gewenst is dat een bedrijf de functie van handhaver op zich neemt aangezien het verre van onafhankelijk is. Ook hebben ze indirect controle over de informatie die mensen krijgen aangezien veel informatie via applicatie's word verspreid. Hier zit ook weer een vorm van gevaar voor misbruik..
Ach ik ben nog niets tegen gekomen wat er op Android wel is maar op iOS niet.. Iets wat ik zou willen dan.
De hack omzeilt ook iAp, claimt de hacker. Zie bijvoorbeeld MacWorld.
Passwords worden als plain-text verstuurd... o_O
Dat is wel eng, want als je via wifi, e.a. connected ben kan dat dus allemaal ook via andere methodes gesniffed worden.
Het lijkt me juist logisch dat dergelijke grote pakketten een offline versie bieden. Het is security technisch slim om kritieke systemen niet aan het internet te hangen tenzij dit echt nodig is. Een machine waar al je tekeningen op staan, wil je niet riskeren met trojans of andere hacks.

Daarnaast denk ik dat grote bedrijven niet zo snel cracks gebruiken voor dergelijke zaken. Vooral voor support etc wil je alles netjes in orde hebben. De voordelen van offline registratie wegen dan op tegen de mogelijke inkomstenderving. Welke grote alternatieven van PS of Autiocad zijn er die alleen maar online te registreren zijn?
Je zou denken dat het verkeer bij iAp toch wel ge-encrypt zou worden. Blijkbaar gebeurd dit niet of altijd met dezelfde sleutel waardoor de antwoorden die de server stuurt ook altijd hetzelfde zijn.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013