Apple probeert tevergeefs hack in-app-aankopen te blokkeren

Apple heeft in het voorbije weekend tevergeefs getracht de dienst In-Appstore.com offline te halen. Met die dienst van een Russische hacker kunnen gebruikers in-app-aankopen doen zonder te betalen. Ontwikkelaars kunnen niets doen.

Hack iOS in-app aankopen De hacker heeft de in-app-hack zo omgeschreven dat er geen contact meer hoeft te worden gemaakt met servers van Apple, waardoor een blokkade vanuit Apple geen zin meer heeft. De hack werkt op alle iOS-versies vanaf 3.0, dus hij kan onder meer worden uitgevoerd op de iPhone 4S, iPad 2 en nieuwe iPad. Apple heeft ook geprobeerd de dienst offline te krijgen door de hoster te verzoeken de server van de dienst offline te halen. Dat is gebeurd, maar de hacker heeft de dienst verplaatst naar een andere server, meldt The Next Web.

De hacker, Alexey Borodin, heeft een manier gevonden om apps te laten denken dat een in-app-aankoop is betaald zonder dat de betaling heeft plaatsgevonden. Ook als ontwikkelaars een extra beveiliging hebben ingebouwd door de betaling te checken, kan de hack nog plaatsvinden. Daardoor staan ontwikkelaars machteloos tegenover de frauduleuze hack. Vrijdag hadden ongeveer 30.000 mensen gebruikgemaakt van de dienst om in-app-aankopen niet te hoeven betalen, aldus de hacker.

De dienst vereist nu bovendien dat gebruikers uitloggen van hun iTunes-account. Volgens de hacker is dat gedaan zodat niemand kan vermoeden dat het iTunes-wachtwoord wordt meegestuurd naar de server van de hacker. Het is onduidelijk welke gegevens wel worden meegestuurd. De hack vereist dat de dns-instellingen op de telefoon worden gewijzigd en dat de gebruiker twee profielen installeert. Een jailbreak of installatie van bepaalde software is niet nodig om de hack uit te voeren.

Reacties (147)

CMG 16 juli 2012 14:13

Totdat er een update komt van Apple die automatisch alle IAP's controlleert bij sign in op de appstore...

TvdW @CMG • 16 juli 2012 14:26

Eigenlijk is dat ook een beetje de taak van ontwikkelaars... De post hier op Tweakers zegt wel dat de ontwikkelaars niks kunnen doen maar dat is niet waar: de ontwikkelaars kunnen gewoon alle IAPs via hun eigen server laten controleren. Met een jailbreak was de IAP namelijk sowieso al een beetje te omzeilen.

real[B]art @TvdW • 16 juli 2012 15:16

Gezien de berichten in het verleden over de strenge voorwaarden die Apple hanteert met betrekking tot Apps zou het me niets verbazen als ontwikkelaars verplicht zijn om de infrastructuur van Apple te gebruiken voor IAPs. Dan is het een beetje vergezocht om ook nog eens een eigen, redundante server op te zetten. Temeer daar Apple zichzelf misschien wel indekt met disclaimers tegenover ontwikkelaars, maar er uiteindelijk heel veel belang bij heeft dat dit soort fraude bestreden wordt. Waarom zou je dat dan als ontwikkelaar niet lekker een Apple over laten?

Overigens waren er in maart 2011 al berichten over fraude met in-app aankopen: nieuws: Ontwikkelaar: 40 procent in-app aankopen iOS is frauduleus
Dus echt nieuw is dit verschijnsel ook niet, het verschil is vooral dat Apple vooralsnog niet bij machte is om er iets tegen te ondernemen.

n4m3l355 @real[B]art • 16 juli 2012 17:21

Inderdaad, neem het nog een stapje verder als Apple niet verantwoordelijk is, waarom proberen ze het te voorkomen? Misschien dat het inderdaad een half-bakken Api is maar waarom is het dermate slecht geimplementeerd dat dit kan gebeuren? Misschien dat de ontwikkelaars hier een handje naar hebben maar omgekeerd Apple zelf is zeker ook niet onschuldig in deze situatie. Jammer genoeg dat het allemaal nogal in het duister blijft en dat Apple die hier waarschijnlijk meer vanaf weet zoals gewoonlijk niets openbaar maakt. Het is weer een typische situatie waar de ontwikkelaar dit keer de dupe is en hier ook weinig invloed op kan uitoefenen totdat er helderheid wordt geschapen.

Overigens is dit wel een blammage ik ben benieuwd wat hier de gevolgen van zijn. Enerzijds financieel, verlies in aankopen is lastig aan te tonen, anderzijds het zicht van Apple zelf. Ik kan me voorstellen dat als ontwikkelaar zijnde je nog wel eens achter je oor krabt bij iOS.

Anoniem: 398412 @n4m3l355 • 16 juli 2012 17:50

Ontwikkelaars kunnen er wel iets aan doen. Het zijn net ontwikkelaars die niet de instructies van Apple volgen die de dupe zijn. Beetje dom dan om te zeggen dat het een blamage is voor Apple en dat ontwikkelaars achter hun oren zullen krabben bij iOS.

Lijkt me eerder dat ontwikkelaars wat nauwer gezet de instructies zullen volgen die Apple hen meegeeft zodat iOS voor hen niet de Android ervaring krijgt waar piraterij gewoon de norm is.

ioor @Anoniem: 398412 • 17 juli 2012 12:00

Als ze niet de instructie van apple volgen....waarom laat apple dit dan toe in zijn market.
Net als alle andere apps die niet volgens de regels van apple zijn gemaakt worden hier toch op getest?.....Dus of apple is dus NIET consequent, of apple is mede verantwoordelijk van deze omzeiling.....

kozue @Anoniem: 63628 • 17 juli 2012 12:30

Niet om het een of ander maar wat is er mis met een OS bouwen uit open source software? Waarom lever je half werk af als je goed werkende open source in je product integreert? Een hoop Linux distributies zijn volledig open source. Wat jouw mening is over Linux mag je lekker voor je laten, maar het is een feit dat het het meest gebruikte OS is voor webservers, dus dan kan het nooit rommel zijn. Waarom zou Apple dan wel rommel zijn als ze dezelfde software gebruiken?
Ik ben het met je eens dat Apple meuk niet altijd goed in elkaar zit (zo vind ik iTunes een draak van een applicatie), maar waarom je open source er bij haalt is me niet duidelijk.

Anoniem: 63628 @kozue • 17 juli 2012 17:23

Misschien moet jij eens een cursus begrijpend lezen volgen.

Er is niets mis met het gebruik van open source software en Apple heeft juist geluk dat veel van hun Open source software goed functioneert. Het valt alleen op dat alles wat apple zelf doet, vaak een puinzooi wordt. En dat is wat er ook stond.

Ik wijs zelfs een aardig deel van het succes van Apple toe aan Open source software. Maarja, dat jij niet kunt lezen, kan ik ook niet helpen.

Anoniem: 434945 @Anoniem: 63628 • 16 juli 2012 18:25

Inderdaad.. Apple moet minstens een quadcore in zijn nieuwe toestel zetten om het oude toestel van Samsung te evenaren.. Of wacht.. Was t niet andersom?

Daarnaast heeft Apple gewoon een verificatie mogelijkheid ingebouwd die ontwikkelaars zelf in kunnen bouwen, helaas was Apple niet streng genoeg door dit te verplichten dan was dit niet gebeurd.

Maar goed, gelukkig doet Google t zo goed en hebben ze geen enkele mogelijkheid tot illegaal downloaden

Wolfos @TvdW • 16 juli 2012 15:07

Dus alle ontwikkelaars moeten een eigen server hebben? Dat kost niet niks hoor.

EAM666 @Wolfos • 16 juli 2012 18:10

De kosten voor een server die alleen verificatie uitvoert zijn niet zo hoog. Menig webserver krijgt meer load en dataverkeer voor z'n kiezen. Een virtuele bak bij een hosting provider zou al een heel eind moeten komen.

Daarnaast is het natuurlijk een keuze. Als je een enkele aankoop hebt is het de moeite en kosten natuurlijk niet waard. Bij een serieuze(re) app zal de ontwikkelaar dit toch wel even moeten overwegen.

Naar mijn mening lijkt het op de beveiligingsissues bij menig website: zolang alles werkt is het prima en als het gehackt wordt zien we wel weer..

djunicron @EAM666 • 16 juli 2012 21:36

Inderdaad, met kleine file en wat verificatie kan je best in-app-aankomen voor rechtmatige klanten controleren. Het gaat natuurlijk fout het moment dat je alle tools in de applicatie steekt en via één grote (dus universeel te hacken) dienst laat controleren.

Niet dat dat vragen op problemen is per definitie, maar als je wilt dat je product niet gestolen wordt, moet je het deels in eigen beheer houden. De vergelijking met een de gemiddelde website gaat hier inderdaad helemaal op.

==

Maar dan wat anders: ik begin steeds meer een hekel te krijgen aan in-app-aankopen. Het heeft in veel gevallen teveel weg van release-day-DLC's. Ontwikkelaars die moeilijke spellen uitbrengen en vervolgens een pay-to-win optie inbouwen vragen er een beetje om naar mijn mening. Zeker als je vervolgens honderde dollars dient te betalen. Wie wil er nou toch voor $100 aan ingame puntjes uitgeven!? Die optie is bijna alleen maar aanwezig met de hoop dat een jong kind deze perongeluk gebruikt en zo de Creditcard van de ouders belast.

Patriot @Wolfos • 16 juli 2012 15:10

Dus alle ontwikkelaars moeten een eigen server hebben? Dat kost niet niks hoor.

Niet alle ontwikkelaars zullen beschikken over een mogelijkheid iets er aan te doen, maar ze staan ook niet allemaal compleet machteloos, zoals wel word gesuggereerd.

ronaldmathies

Apple iPhone 4S

@Wolfos • 16 juli 2012 15:28

Nee, ze hoeven geen server te hebben het is een betalings verificatie met Apple. Zie mijn uitleg hierboven

[Reactie gewijzigd door ronaldmathies op 22 juli 2024 21:00]

pegagus @TvdW • 16 juli 2012 15:05

Apple biedt de dienst aan, waarbij de hacker nu de dienst heeft gekraakt. En dat is dan de schuld van de ontwikkelaar? Want die moet Apple niet op zijn blauwe ogen geloven?

ronaldmathies

Apple iPhone 4S

@pegagus • 16 juli 2012 15:26

Nee, ontwikkelaars moeten van een betalings systeem niet de helft van de API implementeren. Dit functie wordt niet alleen gebruikt voor het veriferen maar ook dat als de gebruiker de App opnieuw installeerd dat de App weet dat de gebruiker ooit de in-app-purchase heeft gedaan. En de die functie niet nog een keer gedaan moet worden.

Waar je boos om moet worden is dat die ontwikkelaars gewoon hun werk slech hebben gedaan met als gevolg dat je klanten kan benadelen.

Bijvoorbeeld het adobe teken paket op de iPad kent layers, deze moet je via iap inschakelen. Hadden ze het niet geimplementeerd dan waren gebruikers die het opnieuw gingen installeren benadeeld omdat ze het weer moeten kopen vanwege de ontbrekende verificatie.

XwiZ @defixje • 17 juli 2012 01:46

Ahem:

Doe is even...

'nuff said

vj_slof 16 juli 2012 14:14

en hoe zit het dan met iAP-cracker? http://ipad-os.net/iap-cracker-deb-official-source/ Hiervoor is het niet nodig om aanpassingen aan DNS te doen en ook het iTunes wachtwoord hoeft niet te worden gebruikt.

MClaeys @vj_slof • 16 juli 2012 14:41

Maar als een ontwikkelaar dan bevestiging vraagt van de betaling dan werkt iAP-cracker niet meer, dat is bij deze hack dus wel het geval en een jailbreak is niet eens nodig.

De hacker, Alexey Borodin, heeft een manier gevonden om apps te laten denken dat een in-app-aankoop is betaald zonder dat de betaling heeft plaatsgevonden. Ook als ontwikkelaars een extra beveiliging hebben ingebouwd door de betaling te checken, kan de hack nog plaatsvinden.

ieperlingetje 16 juli 2012 15:25

De hack vereist dat de dns-instellingen op de telefoon worden gewijzigd en dat de gebruiker twee profielen installeert

Apple kan dit probleem toch in 2 minuten fixen met een tijdelijke workaround? Gewoon IP adres hardcoden. Absoluut geen wenselijke situatie, daar ben ik mij van bewust. Maar ik denk dat Apple ook niet wil dat developers inkomsten mislopen.

Anoniem: 392755 @ieperlingetje • 16 juli 2012 15:36

wat voor nut heeft dat ? Je moet nu al een tunnel opzetten voor die hack (als ik het goed gelezen heb en indien niet, dan zet je gewoon een tunnel op), en dan gebruik je toch dat hardcoded ip adres aan de andere kant van de tunnel.

Anoniem: 204567 @ieperlingetje • 17 juli 2012 10:07

"een IP adres hardcoden", oh, waar dan precies? Dat gekraakte spul maakt geen connectie meer met Appel.

Leitz @ieperlingetje • 17 juli 2012 15:14

ja lekker slim, eerst het vertrouwen bij de dev's verliezen en daarna bij de consumenten.

JoeriBlaau 16 juli 2012 14:32

Ontwikkelaars kunnen niets doen.

Ontwikkelaars kunnen wel wat doen, namelijk Apple's iAp verificatie-methode gebruiken. Dan blijkt het niet mogelijk om de hack uit te voeren. Een soortgelijke hack was al tijden mogelijk via jailbreak en werkte ook alleen bij app's die niet van de verificatie-methode gebruik maakte. Het voordeel van het niet gebruiken van de methode is dat je geen internet nodig hebt.

Ik weet niet of je dit als lek kan zien in iOS, zoals veel dat zien. Enerzijds dient Apple dit op te lossen, anderzijds is ligt schuld ook bij ontwikkelaars zelf door een offline/niet-apple verificatie te gebruiken. Volgens mij weten we allemaal wel dat vertificatie die offline gebeurd vaak makkelijk te kraken blijkt, kijk naar grote software producten als de Adobe CSS-suits of Autocad. Ik ben dan ook zelf voorstander van online-verificatie.

Vraag me ook af of het verstandig is je Apple-ID over te geven aan een Russische hacker, helemaal al staan hier betalingsgevens in zoals creditcard. Voor die 0,79 euro snap ik sowieso al niet dat je wil hacken, al zal het vaak om spelletjes gaan zodat mensen gratis en makkelijk verder komen. Betaal gewoon, zou jij ook willen als je ontwikkelaar was.

@Haaguit: Klopt, heb je gelijk in. Maar toch vind ik dat niet een veilig systeem. Nou zullen de 'pro's' de software gewoon kopen maar er zijn genoeg mensen die er een keygen of wat dan ook overheen gooien.

[Reactie gewijzigd door JoeriBlaau op 22 juli 2024 21:00]

Auteur

arnoudwokke Redacteur Tweakers @JoeriBlaau • 16 juli 2012 14:46

De hack omzeilt ook iAp, claimt de hacker. Zie bijvoorbeeld MacWorld.

bbr @arnoudwokke • 17 juli 2012 07:30

Passwords worden als plain-text verstuurd... o_O
Dat is wel eng, want als je via wifi, e.a. connected ben kan dat dus allemaal ook via andere methodes gesniffed worden.

Haaguit @JoeriBlaau • 16 juli 2012 15:17

Het lijkt me juist logisch dat dergelijke grote pakketten een offline versie bieden. Het is security technisch slim om kritieke systemen niet aan het internet te hangen tenzij dit echt nodig is. Een machine waar al je tekeningen op staan, wil je niet riskeren met trojans of andere hacks.

Daarnaast denk ik dat grote bedrijven niet zo snel cracks gebruiken voor dergelijke zaken. Vooral voor support etc wil je alles netjes in orde hebben. De voordelen van offline registratie wegen dan op tegen de mogelijke inkomstenderving. Welke grote alternatieven van PS of Autiocad zijn er die alleen maar online te registreren zijn?

SunnieNL

@JoeriBlaau • 16 juli 2012 16:36

Je zou denken dat het verkeer bij iAp toch wel ge-encrypt zou worden. Blijkbaar gebeurd dit niet of altijd met dezelfde sleutel waardoor de antwoorden die de server stuurt ook altijd hetzelfde zijn.

Anoniem: 20901 @MC Taz Man • 16 juli 2012 14:51

Je weet niet fascisme is. Gebruik niet zulke zware woorden zonder te weten wat ze betekenen.

Anoniem: 109989 @Anoniem: 20901 • 16 juli 2012 15:49

Wat hij bedoeld te zeggen is dat waar het oude software model een democratisch model was. Apple een dictatoriaal systeem heeft gecreëerd om hun eigen belangen te ondersteunen. Elke app moet worden goedgekeurd door apple. als een app niet in hun belang is, Kunnen ze het tegenhouden, Ze kunnen gewoon zeggen dat het onveilig is of ongewenst. Ik denk dat het toch een goede vraag is of het gewenst is dat een bedrijf de functie van handhaver op zich neemt aangezien het verre van onafhankelijk is. Ook hebben ze indirect controle over de informatie die mensen krijgen aangezien veel informatie via applicatie's word verspreid. Hier zit ook weer een vorm van gevaar voor misbruik..

Anoniem: 434945 @Anoniem: 109989 • 16 juli 2012 18:21

Ach ik ben nog niets tegen gekomen wat er op Android wel is maar op iOS niet.. Iets wat ik zou willen dan.

Neko Koneko 16 juli 2012 14:25

Ik vind het vooral erg dat kleine/onafhankelijke developers hiervan de dupe worden. Dat Apple of een andere multinational hier last van heeft daar zit ik wat minder mee, maar vooral voor kleine developers is dit gewoon heel erg.

En ja, het is met 2 maten meten maar Apple komt er wel weer bovenop als ze de inkomsten van 30.000 in-app aankopen mislopen. Voor een kleine developer komt dit veel harder aan.

AllSeeyinEye @Neko Koneko • 16 juli 2012 14:56

Heb je onlangs nog eens gekeken waarvoor de pakketten 'Smurfberries', Energie, Gems, Diamantjes, Goldcoins etc voor de verschillende spellen verkocht worden? Om een actie te versnellen wordt doorgaans 1 tot 5 'special coins' of vergelijkbaar gevraagd. De meest gehanteerde prijzen voor pakketten van die dingen zijn:

20 coins voor € 2
50 coins voor € 4
150 coins voor € 10
500 coins voor € 25
2500 coins voor € 100

Als er dan nu een methode is om gratis in app aankopen te doen, mag jij raden welk pakket door de ge-/misbruikers zal worden 'aangekocht'...

Stel dat er inderdaad slechts 30.000 maal een aankoop gedaan zou zijn. Ik vermoed dat zeker 2/3 daarvan in spellen zal zijn. Zijn er dus zo'n 20.000. Maal een pakket van € 100 en je zit al op € 2 miljoen.

De hack is nog niet verholpen en de aandacht en bekendheid groeit. Als alle ontwikkelaars, voor zover zij uberhaupt kunnen vaststellen of iemand items verkregen heeft met deze hack, de misgelopen inkomsten claimen bij Apple, dan zou dat wel eens een miljoenenclaim kunnen gaan worden.

edit: rekenfoutje gecorrigeerd

[Reactie gewijzigd door AllSeeyinEye op 22 juli 2024 21:00]

njitter @AllSeeyinEye • 16 juli 2012 15:33

20 coins voor € 2
50 coins voor € 4
150 coins voor € 10
500 coins voor € 25
1250 coins voor € 100

die 1250 coins voor €100 koopt niemand toch? Koop je 4x een pakketje van € 25 en je hebt er 2000

Dr. Strangelove @AllSeeyinEye • 16 juli 2012 15:53

Dat is een beetje de redenering van de muziekindustrie: aanschafkosten van het aantal illegale downloads = totaalbedrag gemiste inkomsten.

De realiteit is dat het gros van die illegale downloads nooit legaal zou zijn aangeschaft door de downloaders. Dat geldt hier net zo goed en misschien nog wel meer, dikke kans dat die 30.000 downloads van mensen zijn die speciaal een app hiervoor gedownload hebben omdat ze nu gratis DLC kunnen vangen en het anders fijn links hadden laten liggen.

Totally OT: Ik vind dat apps in de App store een indicator zouden mogen krijgen of ze dit soort DLC bevatten. Erg irritant, zeker in paid apps.

watercoolertje

Mobiele besturingssystemen
Tablets
Apple iPhone 4S
Smartphones
Apple iOS
Software development
Apple iPhone
Apple iPad
Apps
Apple

@Neko Koneko • 16 juli 2012 14:50

En ja, het is met 2 maten meten maar Apple komt er wel weer bovenop als ze de inkomsten van 30.000 in-app aankopen mislopen. Voor een kleine developer komt dit veel harder aan.

30.000 in-app aankopen is echt NIKS, dat is wat Apple per uur of korter ongeveer verwerkt

Daarbij is ook niet elke via die site gedownloade app anders gekocht dus het getal zegt helemaal NIKS eigenlijk...

[Reactie gewijzigd door watercoolertje op 22 juli 2024 21:00]

Keypunchie

Apple
Apple iPhone 4S
Beveiliging
Apps

16 juli 2012 14:19

Dit is een typische "man-in-the-middle"-attack. Lijkt me dat Apple dit met iOS6 onmogelijk gaat maken.

Wat er gebeurt is dat de gebruiker, door middel van installeren van certificaten en wat dns-instellingen, de servers van Borodin erkent als Apple-servers. Er vindt blijkbaar geen uitwisseling van een shared secret/keys plaats voor authenticatie. Alleen maar of ze "erkend" zijn door het apparaat zelf.

Op zich denk ik dat ontwikkelaars zich niet zo'n zorgen hoeven te maken. Het is gewoon een versie van piraterij waar ze al last van hadden, degene die dit gebruiken zouden toch al niet betalen voor hun applicaties/diensten. Of het nou het illegaal kopieren van apps is, of het feit dat mensen gratis smurfbessen inslaan, maakt niet veel uit.

Het enige waar je nog wat aan zou willen doen is dat het hacken niet zorgt voor valsspelen in player-vs-player games.

aval0ne @Keypunchie • 16 juli 2012 14:24

Dit is een typische "man-in-the-middle"-attack. Lijkt me dat Apple dit met iOS6 onmogelijk gaat maken.

De hack is gedemonstreerd met IOS6

SiliconError @aval0ne • 16 juli 2012 14:30

Ja, een van de betas. Grote kans dat ze voor de final nog een fix verzinnen...

arjankoole

Mobiele besturingssystemen
Beveiliging
Apple iPad (voorjaar 2012)
Apple iPhone 4S
Apple iOS
Apple
Apple iPad
Software development

@SiliconError • 16 juli 2012 14:51

We zitten nu op beta 2. Ik verwacht dat we voor de GM nog 2 of 3 beta's zullen krijgen.

daarnaast propt Apple nooit alle nieuwe features in de beta's, ze laten graag wat surprises achterwege, die ze wel met interne builds beta-testen.

Aan de andere kant zou je best een punt kunnen hebben, omdat een fix hiervoor potentieel best pittig zou kunnen ingrijpen op de API's.

aval0ne @SiliconError • 16 juli 2012 15:13

Ja, een van de betas. Grote kans dat ze voor de final nog een fix verzinnen...

Nee, want dan fix je niets voor de iphone die geen iOS6 hebben.

arjankoole

Mobiele besturingssystemen
Beveiliging
Apple iPad (voorjaar 2012)
Apple iPhone 4S
Apple iOS
Apple
Apple iPad
Software development

@aval0ne • 16 juli 2012 15:40

[...]

Nee, want dan fix je niets voor de iphone die geen iOS6 hebben.

wat alleen de iPhone en de iPhone 3G is, en de iPad 1. Alles vanaf de 3GS en de iPad 2 krijgt iOS 6.

MC Taz Man @aval0ne • 16 juli 2012 14:30

iOS6 is nog in beta en wordt later dit jaar pas verwacht. Tijd zat voor Apple om een fix te implementeren lijkt mij.

oxo 16 juli 2012 14:30

Ik denk dat je behoorlijk dom moet zijn om jezelf te laten verleiden door deze hack. Je geeft een totaal onbekende partij wel heel veel informatie over jezelf. Als ik het goed begrijp zelfs je Apple-ID en je wachtwoord. Leuk dat het kan allemaal, maar een waarschuwing lijkt me wel op zijn plaats.

-Tim- @oxo • 16 juli 2012 15:31

In het artikel staat:

De dienst vereist nu bovendien dat gebruikers uitloggen van hun iTunes-account. Volgens de hacker is dat gedaan zodat niemand kan vermoeden dat het iTunes-wachtwoord wordt meegestuurd naar de server van de hacker.

aval0ne @oxo • 16 juli 2012 15:15

Een extra accountje maken en klaar is kees.

Anoniem: 167921 16 juli 2012 20:18

dat google dit nog niet op de android versie geblokkeerd heeft, of in ieder geval getracht

SuperDre @Anoniem: 167921 • 16 juli 2012 20:53

omdat het bij google (nog) geen probleem is?

Auteur

arnoudwokke Redacteur Tweakers @Anoniem: 279033 • 16 juli 2012 14:44

Een paar opmerkingen over jouw opmerking:

1. Wij maken geen reclame voor diensten, wij schrijven over grootscheepse fraude op een veelgebruikt mobiel platform. Gebruikers willen hierover informatie en ontwikkelaars des te meer; zij worden wellicht immers direct financieel getroffen.

2. Wij linken niet naar de site van de hacker in kwestie. Uiteraard kun je hem wel vinden adhv informatie in dit artikel, maar je kunt niet doorklikken.

3. VNU - dat overigens niet meer bestaat en een divisie van de Persgroep is geworden onder Persgroep met als naam VNU Vacture - heeft niets te zeggen over de journalistieke lijn van Tweakers.net. Ik denk eerlijk gezegd dat het ze ook niets kan schelen.

4. In het artikel van vrijdag staat al een waarschuwing om deze dienst niet blind te gebruiken zonder te weten welke gegevens van je worden doorgesluisd. Ik neem aan dat alle lezers bovendien het ethische besef hebben dat ze ontwikkelaars van wie ze apps kennelijk leuk vinden met deze hack direct financieel treffen.

5. Er wordt niet iets gestolen; er wordt gefraudeerd.

aikebah @arnoudwokke • 16 juli 2012 20:27

De gemiddelde reactie op tweakers lezend wil ik het slot van punt 4 toch nog wel Arnoud, maar wellicht ben ik te pessimistisch en hebben de meeste lezers dat besef wel, maar horen ze, net als ik, bij de zwijgende meerderheid.
Tenslotte is het ook niet ethisch om de makers van creatieve werken geen vergoeding te geven voor hun werk, maar is dacht ik de gemiddelde forum-consesus dat gratis downloaden ethisch absoluut geoorloofd is, ook als je niet al op een of ander medium voor de muziek/film hebt betaald.

Anoniem: 80466 @Anoniem: 279033 • 16 juli 2012 14:20

Het zou op zijn minst gepast zijn om te melden in het artikel dat gebruik maken van deze dienst mogelijk strafbaar is en heel zeker onrechtmatig (civielrechtelijk).

Dit kan je zelfs je iTunes account kosten als Apple achteraf in app aankopen van bedrijven gaat leggen naast de daadwerkelijk betalingen.

[Reactie gewijzigd door Anoniem: 80466 op 22 juli 2024 21:00]

MaZeS @Anoniem: 80466 • 16 juli 2012 14:25

Kom op zeg.. Waar is het einde wanneer je bij ieder nieuwsbericht moet gaan vermelden of iets wel of niet wettelijk is toegestaan. Als er iemand een moord gepleegd heeft moet er bij vermeld worden dat dit zeer onaardig is, en bovendien niet toegestaan(strafrechtelijk)?

[Reactie gewijzigd door MaZeS op 22 juli 2024 21:00]

BoringDay @MaZeS • 16 juli 2012 19:14

Reken er maar op dat men hun account kwijtraakt.
Dit is niks anders dan diefstal waar ontwikkelaars hun boord mee proberen te verdienen.

De server van de Rus wordt gewoon in beslag genomen.
En degene die denken er geen gegevens naar de server verzonden zijn naïef ... dit is
gewoon een trojan verpakt in een ander jasje.

Je stelt hiermee je mobiel open en bloot, domste wat je kan doen.

kozue @BoringDay • 17 juli 2012 13:09

Dit is geen diefstal, er wordt niks weggenomen. Dit is piraterij. En als je het verschil niet snapt heb je waarschijnlijk de site van brein te lang doorgelezen.

Gtoniser @Anoniem: 80466 • 16 juli 2012 14:29

Dat slaat nergens op. Moet nu.nl ook bij ieder bericht over moord/bedreiging/etc vermelden dat zulke praktijken niet zijn toegestaan volgens de wet?
Tweakers.net is een nieuwssite, dit is nieuws wat op een neutrale manier wordt gepresenteerd, als jij zelf niet zo snugger bent om te begrijpen dat dit geen legale en toegestane manier is om in-app aankopen te doen dan is dat jouw fout.

We gaan steeds meer naar een samenleving toe waar voor ieder wissewasje een disclaimer en een melding moet komen omdat mensen niet nadenken over dingen (iets met een kat in een magnetron)

kozue @Gtoniser • 17 juli 2012 13:11

Oftewel naar een samenleving zoals in de VS...

Jheroun @Anoniem: 80466 • 16 juli 2012 14:29

De kans dat er een controlerondje komt nadat deze app offline is gehaald lijkt me inderdaad vrij groot. De gemiddelde gebruiker voelt ook wel aan dat dit niet fair is dus zo'n check mag ook weinig stof doen opwaaien (als ze dat zorgvuldig doen).

Apple moet dit wel snel oplossen, en goed, om het vertrouwen van in-App aankopen via Apple te houden. Als ik een of andere specialistische App met dure aankopen daarbinnen zou hebben zou ik dit snel gefixed willen hebben, en onterechte aankopen teruggedraaid willen zien. Anders kan je beter weer aan de slag met kopen van codes via iDeal of Creditcard ofzo, en daar zit volgens mij niemand op te wachten.

deephallow1 @Anoniem: 279033 • 16 juli 2012 14:18

Dus Tweakers mag geen verslag meer uitbrengen van een vrij groot mankement in iOS? Ik lees nergens iets dat het gebruiken van deze hack promoot.

[Reactie gewijzigd door deephallow1 op 22 juli 2024 21:00]

MaxxMark @Anoniem: 279033 • 16 juli 2012 14:22

Mooie flamebait uiteraard. Maar dit valt natuurlijk gewoon onder correcte journalistiek.

VNU zal juist blij mee moeten zijn! Het houd in dat Tweakers netjes zijn werk doet en onafhankelijk nieuws levert.

Als ze dit niet zouden (mogen) doen is het in strijd met de persvrijheid en zou zelfs beargumenteerd kunnen worden dat het censuur is.

Rigs @Anoniem: 279033 • 16 juli 2012 14:25

zat ook die richting te denken eigenlijk maar eigenlijk brengen ze gewoon nieuws, nieuws heet van de naald en kan me best voorstellen dat zoals hierboven al is aangegeven er wel een paar die iAP crack eens gaan proberen of deze.

Je kan tweakers onmogelijk beschuldigen van het al dan niet meedelen van dit nieuws GetBack, deze topic zal een hoop reacties opleveren en dus meer bezoekers en dus meer opbrengsten voor reclame adverteerders op deze website, de eene zen dood is de andere zijn brood...

voor android bestaat er ook zo iets trouwens waar je gekraakte apk's kan downloaden met de naam http://snappzmarket.com/, daarna staan de gedownloade apps ook in de playstore geinstalleerd ook raar toch omdat het om een installatie gaat buiten de playstore verkregen op illegale manier, maar toch herkent op een officiële store

Rey Nemaattori @Anoniem: 279033 • 16 juli 2012 16:17

Goede aktie van Tweakers om reclame voor dergelijke "diensten" te maken. VNU zal blij zijn dat een onderdeel van het bedrijf zo deze vorm van diefstal promoot.

Dit is gewoon nieuws?
Of heb jij ook de neiging om de drankwinkel te overvallen als je dat op het 8uur journaal hoort?

CMG @Anoniem: 279033 • 16 juli 2012 14:19

Kom op; het is over het hele internet breed in het nieuws; denk je nou echt dat mensen die site niet zouden vinden anders? Imho is er weinig schade door dit te melden.

Oerdond3r @Anoniem: 279033 • 16 juli 2012 14:20

Laten we anders alles censureren wat tegenstrijdig is met de wil van grote bedrijven

vgroenewold

Apple iPad
Apple iPad (voorjaar 2012)
Mobiele besturingssystemen
Apple iPhone
Apple iOS
Apple

@Anoniem: 279033 • 16 juli 2012 14:20

Mja, dat is altijd een beetje het twijfelachtige recht om te kunnen melden wat je wilt in de journalistiek. Hier vind ik het overigens geen probleem, het is een probleem van Apple en het nieuws was al bekend. Maar wanneer het gaat om gezichten en namen van veroordeelden of verdachten, dan gaan ze vaak veel te ver m.i., ook al is het nieuws ergens anders al bekend, dan doe je daar gewoon niet aan mee.

[Reactie gewijzigd door vgroenewold op 22 juli 2024 21:00]

Ted_W

@Anoniem: 279033 • 16 juli 2012 14:22

Nieuws hoort toch ongecensureerd en zo objectief mogelijk gebracht te worden? Het kan niet zo zijn dat nieuws juist niet geplaatst wordt vanwege een belangenverstrengeling. Zo kun je alle nieuws over misdaad en criminelen niet vermelden, want dat promoot in jouw optiek ook de verkeerde zaken.

For the record, ik heb geen iPhone of iets anders waar gebruik kan worden gemaakt van deze hack.

Duke-it @Anoniem: 279033 • 16 juli 2012 14:23

Proef ik daar zuur? Want valt dit niet gewoon onder nieuwsgaring? Of mogen 'wij' niet meer weten wat er in de tech-wereld gebeurd? Ik begrijp dat Apple "al het geld er voor in zou willen zetten" om dit te voorkomen, maar hey: That's life.
Je hebt allemaal te maken met positieve en negatieve kanten van hackers e.d.

Als je bang bent voor dit soort nieuwsberichten, vergeet dan Tweakers.net. Wees niet bang om te incasseren.

MC Taz Man @Anoniem: 279033 • 16 juli 2012 14:26

Punt 1; dit is geen diefstal. Bij diefstal worden er producten ontvreemdt, dat is niet wat hier gebeurt.
Punt 2: heb je liever dat Tweakers het nieuws gaat censureren omwille van VNU? Dus dat we hier nooit meer iets te lezen krijgen wat VNU wellicht onwelgevallig is?

OT: hopen dat Apple hier snel wat op vindt. Dit soort hacks zijn voor de gebruikers altijd wat riskant aangezien je niet weet welke informatie er allemaal naar de hacker in kwestie gestuurd wordt.

watercoolertje

Mobiele besturingssystemen
Tablets
Apple iPhone 4S
Smartphones
Apple iOS
Software development
Apple iPhone
Apple iPad
Apps
Apple

@Anoniem: 279033 • 16 juli 2012 14:19

Het is gelukkig geen diefstal en er wordt ook niks gepromoot, dat dat jouw ongefundeerde mening is maakt het gelukkig geen feit.

Als er een lek in welk OS dan ook is is het gewoon nieuws dus goed dat tweakers niet terug deinst als het nu een keer zwaar negatief om iOS gaat

Waar heb jij last van precies? Heb jij een betaalde app gemaakt voor iOS? Heb je veel minder inkomsten ineens?

[Reactie gewijzigd door watercoolertje op 22 juli 2024 21:00]

Anoniem: 80466 @watercoolertje • 16 juli 2012 14:24

Het is gelukkig geen diefstal

Fraude is ook gewoon een misdrijf hoor.

En er is ook makkelijk sprake van aanzienlijke schade.
Waarschijnjlijk veel groter dan met gewone diefstal mogelijk is.

Anoniem: 126717 @Anoniem: 80466 • 16 juli 2012 15:15

Fraude is een misdrijf, diefstal wordt veel lager gestraft:

Fraude
Artikel 326 WvS
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. (= €78.000 max)

Diefstal
Artikel 310 WvS
Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan diefstal, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie. (= €19.500 max)

Anoniem: 109989 @Anoniem: 126717 • 16 juli 2012 15:33

Is het aanpassen van jouwn eigen gekochte systeem om dingen te kunnen die het niet kon ook fraude? Dan moet ik toch maar een andere professie vinden

i.v.m, programmeur.. Het is een locale hack, Dus geen fraude toch??

[Reactie gewijzigd door Anoniem: 109989 op 22 juli 2024 21:00]

blouweKip @Anoniem: 109989 • 16 juli 2012 16:48

Het is geen fraude en geen diefstal, het is tegenwoordig gewoon in om "over the top" te reageren.

418O2 @Anoniem: 109989 • 17 juli 2012 00:13

je snapt zelf ook wel dat dit een frauduleuze handeling is teneinde er zelf voordeel van te hebben

kozue @418O2 • 17 juli 2012 13:07

Nee, het is geen fraude of diefstal, het is piraterij. Het is hetzelfde als applicaties gebruiken zonder licentie.
Natuurlijk is het doel om er zelf voordeel van te hebben, maar ergens voordeel van hebben is niet illegaal. Ik heb ook voordeel van het loon wat ik verdien met mijn baan, en toch ben ik niet bezig met fraude, diefstal, piraterij of iets anders in die geest door mijn baas voor mijn werk te laten betalen.
Degenen hierboven zijn gewoon sensatiezoekers die overtrokken reacties willen posten.

MC Taz Man @Anoniem: 80466 • 16 juli 2012 14:28

Klopt, maar fraude != diefstal

vgroenewold

Apple iPad
Apple iPad (voorjaar 2012)
Mobiele besturingssystemen
Apple iPhone
Apple iOS
Apple

@marhalm • 16 juli 2012 23:26

Nee, dat valt mij nu juist zo op, Android topics zijn stukken rustiger van toon in het algemeen.

Auredium 16 juli 2012 14:15

Tja, het is natuurlijk altijd riskant om een hack te misbruiken als je afhankelijk bent van third party. Hoe vaak ben je als user wel niet een crack tegen gekomen waar een trojan in zat of een worm. (ik als rechtgeaarde gebruiker natuurlijk nooit

)

That said, schijnbaar is de hack er nog wel even 'to stay' tot Apple rigoreus ingrijpt en iOS 6.1 ofzo uitbrengt en geforceerd upgrade laat doorvoeren aangezien deze hack buiten Apple iOS om werkt.

kozue @Auredium • 17 juli 2012 12:43

Zover ik deze "hack" begrijp is het gewoon een 3rd party dns server die de servers die gebruikt worden voor aankopen naar een ander IP adres verwijst. Het enige dat Apple hier tegen zou kunnen doen is de communicatie met de iap server veiliger maken (controleren dat het ook echt die server is, bijvoorbeeld met ssl keys). Maar daarvoor zal de hele structuur van iap aangepast moeten worden en dat gebeurt niet even binnen een dag.

Op dit item kan niet meer gereageerd worden.

Apple probeert tevergeefs hack in-app-aankopen te blokkeren

Lees meer

Reacties (147)

Sorteer op:

Weergave: