Apple biedt ontwikkelaars tijdelijk fix tegen gratis in-app-aankopen

Apple voorziet ontwikkelaars van een tijdelijke methode tegen frauderen met gratis in-app-aankopen. Het bedrijf werkt aan een iOS-fix. Ook voor OS X-apps is er inmiddels een exploit. Zaterdagochtend is de App Store wereldwijd down.

Apple heeft bevestigd dat er fraude gepleegd kan worden met in-app-aankopen en een Q&A online gezet voor ontwikkelaars waarin uitgelegd wordt hoe ze kunnen voorkomen dat gebruikers de betaalmethode omzeilen. Het bedrijf uit Cupertino werkt aan een fix die het probleem definitief moet oplossen, ontdekte 9to5Mac. Vorige week onthulde een Russische ontwikkelaar de hack, die vereist dat de gebruiker enkele profielen installeert en dns-instellingen wijzigt. De methode werkt niet bij elke app.

Macc in app purchase

Inmiddels heeft dezelfde Russische hacker een methode bekendgemaakt hoe gebruikers ook gratis in-app-aankopen bij applicaties voor OS X kunnen doen. Ook hierbij moet de gebruiker zijn systeem na dns-wijzigingen naar de server van de Rus laten verwijzen. Die server doet zich dan voor als de Mac App Store en biedt de vereiste authenticatie voor de aankoop. De gebruiker moet daarnaast een aparte app met de naam 'Grim Receiper' draaien, aldus The Next Web.

Zaterdagochtend kampt de App Store van Apple wereldwijd met downtime, schrijft eveneens The Next Web. Apple zou geen gepland onderhoud hebben aangekondigd. Onduidelijk is of de downtime te maken heeft met de omzeiling van in-app-aankopen.

Reacties (89)

pclinde 21 juli 2012 11:37

Ik zal je zeggen, ik vind het stelen. Ik ontwikkel zelf aan een app die ook in de App Store staat. Hierin spenderen we veel tijd aan interactie, design, fotografie en ontwikkelkosten. Daarnaast spenderen we veen manuren in het project, het is zeker niet goedkoop. Ik zal het daarom ook vreselijk vinden als dit onze app overkomt. Ik noem geen naam van de app omdat er vast mensen hier op Tweakers zijn, die zich met deze praktijken bezig houden.

Verwijderd @pclinde • 21 juli 2012 11:50

Wanneer je app t waard is om te kopen dan kopen mensen het echt wel. Daarnaast heeft Apple een manier om de in-app aankopen te verifiëren (daarom werkt deze 'hack' niet bij elke app) dus ligt het ook aan de ontwikkelaars zelf als ze geld mislopen..

arjankoole

Mobiele besturingssystemen
Beveiliging
Apple iOS
Apple
Software development

@Verwijderd • 21 juli 2012 12:44

Wanneer je app t waard is om te kopen dan kopen mensen het echt wel.

helaas, echt niet. er zijn genoeg mensen - ik ken ze - die het meer dan makkelijk zouden kunnen betalen. Maar ze piekeren er niet over. Want het staat toch lekker gratis op het internet allemaal.

normen en waarden zijn ver te zoeken, tegenwoordig.

Verwijderd @arjankoole • 21 juli 2012 13:27

Ik kan ook zat software programma's betalen die ik gebruik zonder te betalen.. De reden dat ik het niet koop is omdat ze onevenredig veel kosten in vergelijking met hoe vaak ik ze gebruik en wanneer ik ze niet illegaal zou kunnen krijgen zou ik ze niet kopen.

Maar inderdaad, mensen die alles gewoon gratis downloaden, terwijl ze veel plezier hebben aan een app, om 90 cent te betalen.. Ik zou me dan gewoon schamen.

Verwijderd @Verwijderd • 21 juli 2012 19:10

Dus als ik je goed begrijp... Mensen moeten zich schamen als ze een app van 90 cent illegaal downloaden, maar jij bepaalt waar de prijsgrens voor jezelf ligt om illegaal downloaden te verantwoorden?

En niet eens omdat je het niet *kunt* betalen, want je geeft aan dat wel te kunnen... Maar omdat je het niet *wilt*?

Is dat niet gewoon hypocriet?

BenGenaaid @Verwijderd • 21 juli 2012 21:32

Hangt van de app af lijkt me, ik bedoel een eierkookwekker voor 90 cent is veel, maar een OBD uitleeseenheid die gebruik kan maken van Bluetooth, is bijvoorbeeld met 10 euro een goede koop.
Hangt dus een beetje van de app af. toch

Edit: Erg afhankelijk van je voorkeuren en persoonlijke interesses dus...

[Reactie gewijzigd door BenGenaaid op 23 juli 2024 18:07]

BoringDay @Verwijderd • 21 juli 2012 12:58

Als jij het niet waard vind om te kopen dan moet je het ook niet gaan downloaden en installeren.

danda @pclinde • 21 juli 2012 11:52

Welke id, je voert immers een fake Apple-id in volgens de beschrijving....

En denk je nou echt dat ze je zullen vervOlgen voor een in-app van een paar euro

Ik ben eerder benieuwd hoe Apple dit gaat oPlossen en hun beveiliging beter zal maken.

Glashelder

@danda • 21 juli 2012 12:45

Vervolgen? Wat dacht je van gewoon het blokkeren van een Apple ID?

Geen idee of dat overigens mogelijk is..

danda @Glashelder • 21 juli 2012 13:17

dat doen ze niet eens met een gestolen iphone, is wel hypocriet als ze het wel doen voor zulke zaken

xppn @pclinde • 21 juli 2012 11:57

Geen eerlijke praktijken klopt,
Maar waar die laatste zin voor nodig.... Dus dan kan ik het niet laten: CaatKook toevallig

?

Als je het niet wilt moet je er gewoon niks over zeggen...

Squ1zZy 21 juli 2012 10:20

Gezien de DNS servers naar de Rus moeten verwijzen lijkt het mij een kleine stap om de Rus ter vervolgen? Al weet ik niet of Rusland daarin mee werkt

Waarom wordt dit wel zo actief opgepakt en Cydia/Jailbreak niet?

HanG-BuiK-ZwijN @Squ1zZy • 21 juli 2012 10:23

in de VS is jailbraiken wettelijk toegestaan o.a.

Nilsepils @HanG-BuiK-ZwijN • 21 juli 2012 11:23

Jailbreaken wel, maar installous niet, dus dingen om je iPhone meer functionalteit te geven (Denk aan SBSetting ed.) mogen wel maar je mag de jailbreak volgens de wet niet gebruiken om apps gratis te downloaden

johnkeates @Nilsepils • 21 juli 2012 13:22

Dat is natuurlijk ook logisch. Kraken om legale dingen te doen mag wel, kraken om te jatten niet.

Verwijderd @Squ1zZy • 21 juli 2012 10:25

Volgens mij is dat niet zo eenvoudig.
Het is nog altijd de gebruiker die zelf zijn DNS gegevens wijzigt.
Je kunt dit zien zoals een wapenwinkel.
De eigenaar van een wapenwinkel levert ook allemaal wapens.
Maar het is nog altijd de koper die bepaalt wat ie er mee doet.

Soldaatje @Verwijderd • 21 juli 2012 10:38

Wat een rare vergelijking, alsof dns server wijzigen illegaal is.
Die server emuleert de app-store, dat lijkt me een stuk illegaler.

BoringDay @Soldaatje • 21 juli 2012 12:49

Het illegaal verkrijgen van software is illegaal lijkt me.
Je dns server wijzigen naar een vreemde/onbekende server waarbij ook nog account gegevens verzonden worden is gewoon pure domheid.

PhilipsFan @BoringDay • 21 juli 2012 14:35

Maar het gaat hier niet om illegaal verkregen software. Het gaat om in-app aankopen. Je kunt hierbij denken aan bv punten of credits in een spel. Het is mij niet helemaal duidelijk wat er nu precies gestolen of gefraudeerd wordt, want die credits vertegenwoordigen geen echte waarde. En waarschijnlijk had de 'fraudeur' ze nooit in het echt gekocht. Wat nog niet goed praat wat hier gebeurt natuurlijk, maar het is niet helemaal duidelijk wie hier goed en fout zijn.

Hell, het zou maar zo kunnen dat de 'gedupeerde' uitgevers van software Apple gaan aanklagen omdat Apple verantwoordelijk is voor de infrastructuur. Maar dat zal ook wel ergens in de kleine lettertjes zijn afgevangen.

BoringDay @PhilipsFan • 21 juli 2012 16:15

Dat kan ook software zijn maar het gaat om het feit dat men op een illegale manier de aankopen aanschaft.

En het heeft wel degelijk waarde.
Het feit is dat men niet voor de content betaald waar wel voor betaald moet worden.
Het staat helemaal los van of men anders er niet voor zou betalen, juist daarom heet dit diefstal.

Als een inbreker je laptop jat waar hij niet voor betaald, zou die wellicht anders ook niet hebben gekocht. Als je het dan geen waarde vind ... lijkt me vreemd.

Ze kunnen hier Apple niet voor aanklagen anders kan jij ook de slotenmaker van je huisdeur elke keer aanklagen i.p.v. de inbreker.

Staat de deur niet open dan gebruiken ze wel een loper. werkt dat niet dan pakken ze wel een baksteen ... ect.

[Reactie gewijzigd door BoringDay op 23 juli 2024 18:07]

Huntard @BoringDay • 21 juli 2012 18:10

Met dit verschil: als een dief een laptop jat, ben je de laptop kwijt. Bij in app aankopen is er niks kwijt. Hooguit is men iets aan inkomen misgelopen. Maar we weten allemaal dat het aantal illegale aanschaffingen niet gelijk staat aan het aantal misgelopen aanschaffingen.

BoringDay @Huntard • 22 juli 2012 13:05

Het blijft diefstal, (informatie-diestal).

Elke aanschaf waar niet voor betaald is en wel voor betaald moet worden is dus misgelopen inkomst. Op het moment dat iemand dit illegaal verkrijgt die hoor je dat mee te tellen.
Anders moet je het maar niet jatten.

Verwijderd @Soldaatje • 21 juli 2012 11:11

Wat een rare vergelijking, alsof dns server wijzigen illegaal is.
Die server emuleert de app-store, dat lijkt me een stuk illegaler.

Onderbouw het dan met feiten. In plaats van zomaar wat in de ronde te schreeuwen.

Denni @Verwijderd • 21 juli 2012 11:38

DNS server wijzigingen zijn niet illegaal, anders had Apple het natuurlijk ook niet in het besturingssysteem ingebouwd. De server vangt echter de connecties met de App Store op en stuurt dan een bericht terug naar iOS dat de aankoop is ontvangen en dus denkt de het iOS-device dan dat je de in-app aankoop gekocht hebt. Dit is natuurlijk illegaal omdat deze constructie puur is gebouwd voor het gratis maken van in-app aankopen.

ioor @Denni • 21 juli 2012 14:49

Dus kortom.....LEGALE aanpassingen in software is dus ILLEGAAL....ik snap het niet dus...

Volgens mij is dat juist niet illegaal, maar een open gatenkaas in de beveiliging van een verificatie.....

MicGlou @ioor • 21 juli 2012 21:54

En omdat er ergens gaten in de beveiliging zitten maakt dat het toegestaan is...

Dus inbreken is ook toegestaan als ik een raam open heb laten staan? Of weglopen zonder te betalen bij de kassa omdat de cassiere even niet op de plek zit? Sorry, maar dat een ander fouten maakt betekent echt niet dat jij je daarom maar bepaalde 'rechten' toe kan eigenen.

Of om het eeuwige voorbeeld van de auto maar weer eens te gebruiken: Ik mag mijn auto ook chip-tunen, co2 installeren, dikke velgen eronder, spoilertjes eraan etc etc. Allemaal veranderingen aan de auto die er voor zorgen dat hij sneller gaat en beter op de weg ligt. Allemaal toegestane aanpassingen (mocht vroeger ook niet) ondanks dat het niet zo word geleverd vanuit de fabriek... maar dat betekent dan toch niet automatisch dat ik dan ook toestemming heb om overal harder te rijden?

Jij haalt serieus twee dingen door elkaar... probeer het nog eens te snappen

ioor @Verwijderd • 21 juli 2012 11:18

lees dan ook ...

Wat een rare vergelijking, alsof dns server wijzigen illegaal is.

watercoolertje

Mobiele besturingssystemen
Apple iOS
Software development
Apple

@Soldaatje • 21 juli 2012 11:05

Nou ben ik benieuwd wat er zo illegaal aan is?

arjankoole

Mobiele besturingssystemen
Beveiliging
Apple iOS
Apple
Software development

@watercoolertje • 21 juli 2012 12:45

Nou ben ik benieuwd wat er zo illegaal aan is?

het is fraude.

PhilipsFan @arjankoole • 21 juli 2012 14:00

Maar wie pleegt die fraude? Is dat die rus die het mogelijk maakt (de wapenwinkel) of is het de gebruiker die willens en wetens profielen installeert en in-app aankopen doet zonder te betalen? (degene die een wapen koopt en de trekker overhaalt)...

Het enige wat een beetje jammer is aan de timing is, dat er nu dus een update komt voor alle IOS versies en het hele jailbreak-circus dus weer opnieuw kan beginnen...

[Reactie gewijzigd door PhilipsFan op 23 juli 2024 18:07]

MicGlou @PhilipsFan • 21 juli 2012 21:44

In Nederland... beide. Je bent als koper van 'gestolen goed' net zo goed strafbaar als de heler wanneer je daarvan op de hoogte bent. In veel gevallen kan je daar nog een flinke discussie over houden, maar aangezien er eerst daadwerkelijk aanpassingen gedaan moeten worden op het toestel kan je onomstotelijk vaststellen dat de gebruiker zich hiervan bewust is geweest en dus simpelweg medeplichtig is.

supersnathan94

Apple
Apple iOS

@PhilipsFan • 21 juli 2012 22:59

een wapen kan je ook gebruiken om mee te jagen. of op een schiet vereniging. daarom zijn sommige wapens ook toegestaan in nederland mits je een vergunning hebt.

dat moord nu een mogelijkheid is met een wapen... tsja das bijzaak. maar een dedicated server opzetten met als enig doel en als enige mogelijkheid fraude plegen lijkt mij meer op een geval opzettelijk fraude faciliteren en dat is wel degelijk strafbaar.

Blokker_1999

Software development
Apple

@watercoolertje • 21 juli 2012 11:20

Bedenk even wat het doel ervan is en je hebt je antwoord.

Verwijderd @Blokker_1999 • 21 juli 2012 11:58

wat maakt het nou uit wat het doel is.... wat als je geen doel heb. wat is het doel om op tweakers te posten? misschien hebben mensen helemaal geen doel en doen maar wat. ok doel kan zijn "obtaining general ict skills" en dan wat is daar illegaals aan? Als we over faciliteren hebben... de wapen industrie faciliteerd massa moorden dat is veel illegaler lijkt mij.

bluegoaindian @Squ1zZy • 22 juli 2012 09:01

Als je een russiche of beter oekraiense server bezit kun je gewoon ALLES plaatsen deze landen houden zich namelijk niet aan de WTO verdragen net als Kongo , en nigeria die ook prima server space bieden voor een goede prijs , instalous is dus niet uit de lucht te halen..

DukeBox 21 juli 2012 10:25

Ik denk niet dat de Rus te vervolgen is, de eindgebruiker kiest er bewust voor om te 'frauderen', De Rus levert alleen de dienst daarvoor.
Dat is eigenlijk hetzelfde verhaal als brein tegen de tpb proxys.

S0epkip @DukeBox • 21 juli 2012 10:41

Het probleem met de "dienst" die deze Rus levert is dat het ENIGE doel van deze dienst het omzeilen van de Apple-store betalingen is. Dat lijkt dus op een evident illegale dienst en zal dus heel goed strafbaar kunnen zijn.

(Vergelijk het maar eens met de drugsdealer op de hoek van de straat, of wilde je hier ook beweren dat alleen de eindgebruiker aansprakelijk is, omdat die zelf kiest wat hij of zij met de geleverde materialen doet?)

Verwijderd @DukeBox • 21 juli 2012 10:29

De eindgebruiker is des te makkelijker te vervolgen gezien de Apple ids van deze personen gewoon bekend zijn.

Verwijderd @DukeBox • 21 juli 2012 10:34

Je vergelijking gaat mank, het is in deze context geen proxy maar "tpb" zelf. Gezien de beste man de gehele faciliteit bied om dit mogelijk te maken.

Verwijderd 21 juli 2012 10:40

Alles is te kraken, slordig dat de Apple devs hier niet zelf al eens achter zijn gekomen. Overigens werkt de Appstore hier zonder problemen vanochtend.

EgMaf @Verwijderd • 21 juli 2012 10:47

Het valt me nog mee dat Apple zo "snel" reageert. Bij kritische beveiligingslekken doen ze daar meestal maanden over.

Maarja, dan gaat het alleen maar over security, nu gaat het om geld...

watercoolertje

Mobiele besturingssystemen
Apple iOS
Software development
Apple

@EgMaf • 21 juli 2012 11:11

Noem jij een paar weken snel? Ik vindt het maar matig!

BoringDay @watercoolertje • 21 juli 2012 12:55

Jij maakt zeker software updates zonder onderzoek en test-fases?
- oorzaak probleem;
- plan van aanpak voor oplossing van het probleem;
- uitwerken van de plan van aanpak;
- testen van het eindresultaat;
- gereed maken voor distributie;

kost vast geen tijd allemaal? het zijn geen hobbyisten die beetje ad-hoc on-gedocumenteerd te werk kunnen gaan ...

Haastwerk is altijd slecht

Blokker_1999

Software development
Apple

@watercoolertje • 21 juli 2012 11:23

In dit geval moest men eerst een oplossing zoeken. Als je geen oplossing hebt kan je ze ook niet aanbieden. En zo eenvoudig is het natuurlijk niet.

arjankoole

Mobiele besturingssystemen
Beveiliging
Apple iOS
Apple
Software development

@watercoolertje • 21 juli 2012 12:48

Noem jij een paar weken snel? Ik vindt het maar matig!

weken? iets meer dan 7 dagen. inclusief een weekend.

[Reactie gewijzigd door arjankoole op 23 juli 2024 18:07]

arjankoole

Mobiele besturingssystemen
Beveiliging
Apple iOS
Apple
Software development

@EgMaf • 21 juli 2012 12:50

Het valt me nog mee dat Apple zo "snel" reageert. Bij kritische beveiligingslekken doen ze daar meestal maanden over.

dat was alleen met dat java ding zo. als je kijkt naar gatekeeper in OSX 10.8 zie je dat ze best serieus met security bezig zijn. de laatste security fix voor java op OS X kwam tegelijk met die van Oracle uit, dus ze leren ook echt wel van hun fouten.

Dat ding met java was gewoon erg lastig, en ik snap dat wel. Er waren versies van apache waarmee je remote een linux bak kon rooten. maar op solaris en FreeBSD werkte dat weer niet. Dat maakt 't lastig.

Toegegeven ze hebben dat java ding dramatisch onderschat, maar ik denk niet dat ze zo'n fout nogmaals maken.

BoringDay @arjankoole • 21 juli 2012 16:17

Apple is altijd al serieus als het om veiligheid gaat.
Alleen pakken ze het op andere manieren aan dan wat plakwerk met virusscanners.

BenGenaaid @BoringDay • 21 juli 2012 21:39

Ik denk het niet als je terug kijkt op de gatenkaas die OSx is voor potentiele aanvallen van buitenaf, Windows 7 is veiliger.
Het voordeel dat Apple altijd heeft gehad is dat er weinig interesse was in virussen en hacks voor en toen nog erg weinig gebruikt OS, nu is dat aan het veranderen en je ziet meteen dat Apple ook problemen heeft.

arjankoole

Mobiele besturingssystemen
Beveiliging
Apple iOS
Apple
Software development

@BenGenaaid • 21 juli 2012 21:54

Welke gatenkaas heb je 't precies over? OS X zit zoals de meeste Unixen behoorlijk dichtgeramd in de basis.

Verwijderd @Verwijderd • 21 juli 2012 11:19

Je beseft wel dat Apple een beveiligde methode voor in-app aankomen bied? Helaas gebruiken developers deze niet altijd waardoor deze hack in die apps mogelijk was

g4wx3 @Verwijderd • 21 juli 2012 13:22

Het is te vergelijken alsof je een betaal muur nabouwt, de gebruiker geeft je pin en kaart, en jij kunt er op los!

Verwijderd 21 juli 2012 13:45

Ben toch wel benieuwd of deze hack veel word gebruikt en hoeveel schade er word geleden, is hier misschien iets over bekend.

SuperDre 21 juli 2012 15:12

tja, mij lijkt het sowieso niet slim om hier gebruik van te maken. punt 1, apple kan zo achterhalen of je hier ebruik van hebt gemaakt en daarmee je account met alle aankopen blokkeren. punt 2, hoe betrouwbaar is deze rus, je laat je data via zojn server gaan....

Infor40 21 juli 2012 18:36

Wat werkelijk absurd is, is natuurlijk dat deze beste man zijn dienst zo lang kan verlenen zonder ingrijpen van een overheid. Uiteindelijk is dit onmiskenbaar frauduleus en zouden dergelijke 'diensten' sneller aangepakt moeten worden. Dit dit in alle 'openheid' met een publieke website gebeurd, laat vooral zien dat daar de elektronische opsporingsdiensten hun zaken niet voor elkaar hebben.

De discussie over de prijzen van software staan hier geheel los van wat mij betreft. Daar geldt uiteindelijk toch gewoon een vraag & aanbodverhaal waarbij helaas soms slechts enkele ontwikkelaars in een bepaald segment bestaan. Gelukkig veranderen daar al veel zaken. Neem bijvoorbeeld ontwikkelingen als Ubuntu Studio en Reaper t.o. Cubase etc.

waspoeder 21 juli 2012 11:13

Ik ga deze hack niet gebruiken
Je bent altijd via je id te traceren/blokkeren etc

Dit is hetzelfde als een server rooten zonder proxy

Verwijderd 21 juli 2012 11:59

Dit is nog maar het begin als je het mij vraagt. Ach je kan je apple altijd nog vrij maken en apps downloaden maar dat is niet netjes toch.

bluegoaindian 22 juli 2012 08:59

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (89)

Sorteer op:

Weergave: