Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 161 reacties

Een 13-jarige ontwikkelaar heeft een fout ontdekt in de Mac App Store en App Store voor iOS waardoor alle beschikbare software gratis gedownload kan worden. De truc werkt door eerst bij Apple te melden dat een account is gehackt.

Ontwikkelaar Paul Dunahoo, die ondanks zijn leeftijd al verscheidene Mac- en iPhone-apps heeft gemaakt met zijn eigen bedrijf, demonstreerde de hack in een video, waarin is te zien hoe hij betaalde applicaties uit de Mac App Store gratis downloadt. In een tweede video liet de jonge ontwikkelaar zien dat dezelfde truc ook op Apples mobiele besturingssysteem iOS werkt, waardoor op de iPhone, iPod of iPad apps eveneens gratis gedownload kunnen worden.

Volgens Dunahoo werkt de methode door eerst bij Apple een account als gestolen of gehackt op te geven. Vervolgens wordt het bewuste Apple ID vergrendeld, maar wanneer de gebruiker vervolgens zijn account terugkrijgt is het mogelijk om zonder verdere stappen gratis betaalde applicaties te installeren.

In de video is te zien dat er bij software weliswaar een prijs staat vermeld, maar dat de gebruiker niet hoeft te betalen bij de aankoop van een applicatie: er wordt de melding gegeven dat de app gratis is omdat de gebruiker al een eerdere versie van de software bezit, alhoewel dat niet het geval is. Volgens Dunahoo komt betaalde software die met de truc gratis is verkregen niet in de aankoophistorie te staan.

Apple heeft nog niet op de zaak gereageerd, maar het lijkt aannemelijk dat de fout snel wordt hersteld. Het is nog onduidelijk wat de oorzaak is van het probleem: daardoor is ook nog niet bekend of de truc bij iedereen werkt die een Apple ID terugkrijgt nadat deze als gestolen of gehackt is opgegeven. Apple kampte eerder al met een beveiligingsprobleem waarbij een hacker erin slaagde om in-app-aankopen gratis te maken.

Moderatie-faq Wijzig weergave

Reacties (161)

Precies hetzelfde gebeurt als je een aankoop verbergt uit je aankopenlijst (App Store --> Aankopen -> ctrl+klik op de app --> Aankoop verbergen) en je deze daarna opzoekt in de store en probeert te installeren. Heeft iemand al bevestigd dat de persoon in kwestie niet precies hetzelfde heeft gedaan en ons dus niet voor de gek houdt?

De melding die je krijgt, suggereert dit dat Apple bezig is met betaalde updates?

[Reactie gewijzigd door Joshua op 11 augustus 2012 12:50]

Scherp opgemerkt.

Beetje verdacht ook dat hij alleen "Pages" laat zien, terwijl hij al Keynote en Numbers blijkbaar heeft. Die je niet bovenaan bij de aankopen ziet (je zou verwachten dat hij die recent zou kopen en de Aankopen zijn op datum in de "purchase history" gesorteerd.

Hij laat na de aankoop de "purchase history" niet meer zien! Hij zegt tussendoor dat ze daar niet meer in verschijnen, maar zijn meest recente aankoop (Caroussel) is gewoon van 10 augustus 2012, (en zijn klokje staat op vrijdag...dus dat lijkt me dan afgelopen vrijdag opgenomen).

Al met al, ik vind het ook een sterk verhaal, maar als het klopt zal Apple het wel snel oplossen.

Het lokt me nou niet bepaald uit om account als "gehackt" te rapporteren bij Apple iig.

[Reactie gewijzigd door Keypunchie op 11 augustus 2012 13:03]

Sorry hoor, waarom zo wantrouwig? Ik heb Paul ontmoet op WWDC 2012, via de Student Scholarship. De Wall Street Journal heeft over de Scholarship en onder andere Paul geschreven tijdens WWDC 2012: http://online.wsj.com/art...04577468670147772802.html. Heb het verhaal van Paul ook doorgestuurd naar Tweakers.

Waarom zou hij dit willen faken? Hij vertelde mij dat hij het per toeval ontdekte, en Apple er nogal nonchalant over deed. Hij heeft Apple er meerdere keren over gebeld. Zijn account was na 3 dagen weer vrij gegeven door Apple. Hij post zojuist op Path dat hij de Purchases niet verborgen heeft.

Het klopt inderdaad dat hij dit gisteravond heeft opgenomen en gepubliceerd. Het was toen vrijdag middag in de US.
Het kan inderdaad een trollactie zijn, waardoor iedereen plotseling zijn of haar account als "gehackt" gaat rapporteren.

In ieder geval goed opgemerkt, ik kreeg in eerste instantie het idee dat deze truc legit zou zijn, maar nu twijfel ik daar toch ten zeerste aan. Ondanks dat ik de mensen hierboven gelijk geef dat de leeftijd niet uit moet maken in een kwestie als deze, heb ik toch het idee dat deze 13-jarige eerder de boel zal oplichten dan dat hij werkelijk deze truc heeft bedacht.
Ik heb het inderdaad zelf even geprobeerd en het werkt. Bij mij geeft hij in de popup wel aan dat ik het item al gekocht heb i.p.v. een update. Maar dat kan eenvoudig komen doordat hij dit truukje pas gedaan heeft nadat er een nieuwe versie van de app gepubliceerd was. Ik heb er in elk geval een filmpje van gemaakt:

http://www.youtube.com/watch?v=GpNxhbQgl8s
De melding die je krijgt, suggereert dit dat Apple bezig is met betaalde updates?
dat zou mooi zijn, developers smeken daar al tijden om.
Die bug is nog wat uitgebreider. Als je geld terug vraagt van een app in de Mac App Store, dan kun je nadat het geld is teruggeschreven op je creditcard alsnog de app gratis downloaden.

Dat ontdekte ik vorige maand.
Die bug is nog wat uitgebreider. Als je geld terug vraagt van een app in de Mac App Store, dan kun je nadat het geld is teruggeschreven op je creditcard alsnog de app gratis downloaden.

Dat ontdekte ik vorige maand.
ik heb een soortgelijke situatie voorhanden gehad, en bij mij treed dat niet op.

wel gaf apple me teveel geld terug, maar toen ik dat melde zei de medewerker in kwestie: "zie het als een cadeautje van Apple, voor het ongemak". (het was hun fout, doordat ze na aankop van lion server ook nog een automatische aankoop deden van lion, ook als je die al aangeschaft had).

[Reactie gewijzigd door arjankoole op 11 augustus 2012 13:08]

Ik had het met 1Password. Die had ik een week voordat ie werd afgeprijsd aangeschaft. Was het daar niet mee eens, heb m'n geld terug gekregen om vervolgens opnieuw de aankoop te doen met korting. Echter kon ik 'm gewoon gratis opnieuw binnenhalen, en krijg ook nog gewoon alle updates binnen.
Wat zei Apple toen je dat aan ze melde?
Ik heb een soortgelijke bug ontdekt een tijdje geleden waardoor ik op meer dan 5 Macs Snow Leopard en daarna Mountain Lion heb kunnen installeren. Bij het aankopen van de software uit de App Store vraagt de AS om je betaalinfo te verifiŽren: De security code van je CC moet worden ingevuld, en daarna kun je verder. Als je op dat moment de AS afsluit (zonder gegevens in te vullen), en opnieuw de AS start, en dezelfde software koopt vraagt hij niet meer om die security info, en kun je de app installeren zonder te betalen. Bij mij is namelijk voor een behoorlijk aantal apps geen geld van mijn CC afgeschreven. Heb het ook op video vastgelegd. Zal de bug tzt nog eens naar Apple opsturen. Heb deze ook al gemeld bij T.net maar er is niets mee gedaan.
Interessante post!
Niet zozeer het feit dat je ML op meerdere Macs weet te zetten (dat lukt ook met de 'ML install.dmg'), maar dat deel met die betaling mogelijk wel. Werkt dat echter ook met non-Apple apps? En dat kan dus al bij de eerste aanschaf van die app?
Heb zelf 2 macs en kan na betaling voor de eerste download, de app ook downloaden op de tweede mac. Maar jij zegt nu dus dat je onbeperkt apps zou kunnen downloaden zonder af te rekenen?!?! Lijkt me een tweede bug die minstens zo interessant is als dit nieuwsitem!
Niet negatief bedoeld hoor, maar waarom al wel richting T.net en nog niet richting Apple gecommuniceerd? Is andersom niet logischer?
Mogelijk omdat hij voor een bugmelding bij Apple dit nog beter moet documenteren.
Ik vraag mij af of dit ook echt apps zijn die hij zelf nog nooit heeft gekocht. Als ik normaal namelijk mijn iPhone terug zet naar standaard instellingen en vervolgens weer naar de Appstore ga om een bepaalde applicatie opnieuw te installeren, geeft de Appstore opnieuw aan dat bijv. WhatsApp 79 cent kost. Klik ik daar dan op, dan hoef ik niet opnieuw te betalen maar begint de app gelijk met downloaden.

m.a.w. ik ben nog skeptisch. Ik verwacht eigenlijk dat hij de apps voorheen al een keer had gekocht ook al zegt hij dat dat niet zo is, hij scrolt in zijn lijstje namelijk ook niet helemaal naar beneden. Daarnaast kun je ook apps verbergen in je aankopen lijst.

[Reactie gewijzigd door BastiaanN op 11 augustus 2012 12:51]

waarom reageer je zonder het artikel te lezen? het staat letterlijk in het artikel dat hij de apps niet eerder heeft gekocht.
Omdat wat in het filmpje gedemonstreerd wordt ook gedaan kan worden door een aankoop te verbergen: Joshua in 'nieuws: Truc maakt alle software gratis in applicatiewinkels Apple'

[Reactie gewijzigd door Joshua op 11 augustus 2012 13:12]

Aankopen zijn te verbergen. Je ziet namelijk niet zijn account saldo.
Dus ik geloof het nog niet dat dit ook de waarheid is.
Toch weer beetje jammer dat zo iemand het publiek maakt, in plaats van gewoon even contact op te nemen met Apple om het op te laten lossen. Als het inderdaad niet in de aankoophistorie terecht komt, kan Apple het wellicht niet traceren, en zijn er dus een hoop mensen "home free". Niet echt heel handig van dit knulletje.
Ik denk dat dit knulletje jou nog een hoop zou kunnen leren en hier vooral jaloezie spreekt.
En het lijkt mij eerder "niet echt heel handig" dat zo'n enorme corporatie als Apple de les gelezen moet worden door een 13-jarig 'knulletje'.
En het lijkt mij eerder "niet echt heel handig" dat zo'n enorme corporatie als Apple de les gelezen moet worden door een 13-jarig 'knulletje'.
fouten komen overal voor, het zou te belachelijk voor woorden zijn om te denken of beweren dat dat bij Apple anders zou zijn. Dergelijke fouten worden vaak bij stom toeval ontdekt, in dit geval door een goof van 13, die de nodige technische achtergrond heeft als app developer.

er is dus geen sprake van de 'les gelezen worden', maar gewezen worden op een fout. Het feit dat de melder in kwestie 13 jaar is acht ik totaal onrelevant. Mensen mogen best eens wat minder naar leeftijd en meer naar capaciteit en potentieel kijken. Een hoop van de olympische kampioenen van nu, lieten ver voor hun 13e al potentieel zien, waarop toen actie ondernomen is waardoor ze nu de wereldtop zijn.

[Reactie gewijzigd door arjankoole op 11 augustus 2012 13:05]

Kennis en kunnen zijn twee verschillende dingen. Het scheelt dat je achter de computer alleen maar hoeft te kunnen typen en de rest denkwerk is en je dus fysiek niet zoveel hoeft te leren. Maar die kennis kan je niet zomaar onderschatten.
Ik ben het wel met Maruten eens dat Apple nu gewoon de les gelezen wordt door een broekie die handig is met software.
Dat het mogelijk is zegt eigenlijk iets over de app-markt in het algemeen. In feite is een app niet eens echte software maar een hoge-level oplossing voor iets waarvoor alle faciliteiten al in het OS aanwezig zijn. Net zoiets als een telefoon waar je andere ringtones op kunt zetten alleen dan uitgebreider. Het speelgoedgehalte was al hoog en er worden bakken geld verdient met het heruitvinden van het wiel. Tegelijkertijd wordt de afstand tussen de ontwikkelaar en de hardware telkens groter gemaakt wat op langere termijn koste gaat van kennis daarover. Wat mij betreft is het hoog tijd dat die markt aan banden wordt gelegd en de consument weer waar krijgt voor zijn geld. Het kan echt wel beter dan dat het nu is.

[Reactie gewijzigd door blorf op 11 augustus 2012 13:40]

In feite is een app niet eens echte software maar een hoge-level oplossing voor iets waarvoor alle faciliteiten al in het OS aanwezig zijn.
*kuch*

ik geloof niet dat jij weet wat een App precies inhoudt. Ik kijk regelmatig mee over de schouder van onze developers als ze bezig met Android en iOS apps, en dat is - naast het gebruik van de high-level API's - nog altijd bakken aan pure objective-C, C en C++ code.
Probeer die code eens door een compiler te gooien voor het hardwareplatform waar je hem op wil draaien. Ik denk dat je dan toch het een en ander mist. Hier zit de marketingtruuk. Je moet verder kijken dan je neus lang is om hem te snappen.
Probeer die code eens door een compiler te gooien voor het hardwareplatform waar je hem op wil draaien. Ik denk dat je dan toch het een en ander mist. Hier zit de marketingtruuk. Je moet verder kijken dan je neus lang is om hem te snappen.
Als jij volledig schone objective-c gebruikt, ZONDER al die apple OS X of iOS specifieke frameworks te gebruiken, dan kun je 't net zo goed onder Linux of BSD draaien. De GCC compliler spuugt dan gewoon een binary uit. Natuurlijk heeft ieder platform zijn eigen specifieke API's en frameworks, dat is niet anders onder windows, solaris, linux of BSD.

Dacht je soms dat EPIC z'n complete unreal engine herschreef voor android of iOS? natuurlijk niet. De interfaces die de engine huwen met het OS worden geschreven voor dat platform, maar de core engine, pure C, is niet aangeraakt.

[Reactie gewijzigd door arjankoole op 11 augustus 2012 15:05]

Ik had misschien de leeftijd niet moeten noemen, dit was meer bedoeld als kritiek op het gebruikte woord "knulletje" van Thomasbk en hoe hij met de vinger naar Dunahoo wijst terwijl de schuld toch echt bij Apple zelf ligt.
Maar zoiets nou natuurlijk wel ten koste gaat van zijn 'minutes of fame' ;)
Je ziet de laatste tijd steeds vaker dat de beveiliging van Apple echt niet zo waterdicht is als iedereen denkt
En toch crasht het niet elke dag en toch loopt het na jaren nog steeds soepel.
En toch wordt je systeem niet vervuild met irritante toolbars en andere rotzooi.
En toch in al die jaren nog nooit een virus opgelopen.

Ik denk niet eens dat je maar ook iets van beveiliging bij OSX afweet ... dus hou je conclusies bij je eigen systeem.
Ik denk dat het allemaal een beetje gespeeld wordt. Als andere grote namen het idee van betaald app-gebruik en de winst daarvan overboord gooien kan Apple niet doorgaan met het overal een prijskaartje aan hangen. Het zou me eigenlijk niet eens verbazen dat ze straks bewust stoppen met dwingen tot betalen voor apps en de mogelijkheid tot het omzeilen daarvan als gratis reclame voor Apple gaan inzetten.
Ik hoop dat de app-markt in elkaar dondert en we weer gewoon software voor computers krijgen. En de smartphone/tablet als open standaard net als de PC.
Maar je vergeet dat de AppStore de prijzen van software al flink naar beneden gestuwd heeft. Zelf MS Office wordt steeds goedkoper.
Waar slaat dat op?
De prijzen voor de Apps van ontwikkellaars bepaalt Apple niet, maar de onwikkellaar zelf.
Als Jan een App maakt en hij wilt deze App gratis in de App store zetten, dan mits Apple de app goedkeurt, gebeurd dat.
Ook als Jan er een prijs kaartje van bijvoorbeeld 5 euro eraan wilt hangen.
De OS X kant is btw net zo open als een Windows 7 computer.
Ook daar is software voor beschikbaar.
iOS is dicht gespijkerd ja, en daar ben ik 100% blij mee.
Sterker nog, MS gaat ook die kant op.
Het probleem met apps is dat ze een kunstmatige waarde hebben, te danken aan de target omgeving die een beperkt aanbod voorschijft, namelijk alleen apps en dan ook nog conform de eisen van het OS. Ik hoop dat dat een doodlopende weg is en de consument er op een gegeven moment niet meer in trapt. Mobiele apparaten van nu zijn computers met zo'n hoge performance dat ze zich niet horen te beperken tot toepassingen die bovenop een reeds aanwezig softwarebouwwerk draaien. Dat is technisch inefficient en overbodig en qua veiligheid vergroot het de risicofactor alleen maar. Wat dat betreft is Windows trouwens ook nooit zuiver geweest. Met het invoeren van "386-protected-mode" lang geleden, wat zogenaamd diende om de geheugenbariere van PC's te overbruggen heeft Windows zich als OS een hoop overbodige rechten weten te bemachtigen. In feite zouden PC's ook met een uiterst kleine kernel kunnen draaien waarbij de rest bestaat uit externe runtime libraries. Het is helemaal geen noodzaak dat er een groot monolitisch OS op draait waarvan alle deelprocessen op elkaar leunen en die de hardware volledig achter de schermen houdt en de gebruiker/ontwikkelaar beperkt tot de functies van een API. Maar op een PC kun je tenminste nog iets anders installeren.

[Reactie gewijzigd door blorf op 11 augustus 2012 16:32]

Het is toch NIET TE GELOVEN!?!?! :@
het zijn n eenmaal TWEE VERSCHILLENDE besturingssystemen en ze zijn dus ALLEBIJ ANDERS!!!!!!! 8)7
En ZOOOOOO veel beter is het nu ook weer niet.... Je hebt ook OSX virussen E.D.
voor de zoveelste keer er is nog geen virus voor osx in het wild.
waar jij op doelt zijn trojans maar daar is werkelijk niks nieuws aan.

osx 10.8 heeft hier zelfs al een effectieve en eenvoudige beveiligingsoptie voor.
Ik vraag me af kun je dit wel verhinderen? Kijk als je de boel echt werkelijk gaat tracken, dan ben je waarschijnlijk weer met privacy schending bezig! :X

Doe je het op een mannier waar die vlieger niet op gaat. Dan is het weer te modificeren denk ik!?
Daar heb je gelijk in... 8)7
dit noem ik geen hack zoals in het artikel vermeld.
Dit is gewoon een fout bij apple en bij toeval of door te proberen toevallig gelukt.
Er is op geen enkele wijze wat gehackt, dat hij een bedrijf heeft wil niet zeggen dat hij alles zelf doet dat mag zelfs niet met 13 jaar zoveel uren werken enz denk ik, en ik vraag me af of je met 13 al officieel een eigen bedrijf kan registreren en met 13 jaar al zoveel weten lijkt me sterk, gaat jaren over heen dat leer je nie in een jaartje echt goed ontwikkelen. van een php ontwikkelaar vertelde dat dat jaren duurt voor je hegoed onder de knie hebt dat leer je niet in een jaartje geloof daar weinig van. net als dat pakistaanse meisje van 9 wat alle certifcaten van microsoft heeft gehaald, goed geheugen dat zowiezo maar mij maak je niet wijs dat die echt in groot bedrijf in de praktijk een netwerk kan onderhouden. Druk op start om af te sluiten toch praktijk toch weer anders vaak dan theorie. als ik een auto monteur boek lees met goed geheugen wat ik heb zeker weten dat ik theorie haal maar een auto in elkaar zetten zie ik mij dan niet doen.
Dit zullen we de komende jaren meer gaan zien.
Ik had het al enkele jaren eerder verwacht, maar Apple lijkt eindelijk de aandacht van de huis-, tuin- en keuken hackers en crackers te hebben.
De eerste grote virus uitbraak op dit platform kan, mede door naÔviteit van de gebruikers, ook niet heel lang meer duren.
Die komt niet ... het architectuur is anders dan van windows.
En al vanaf het begin gebouwd voor netwerken en veiligheid.

Daar zit een wezenlijk verschil , dat windows hier niet op voorbereid was en niks tegen doet is hun probleem. Maar dat is niet meteen het probleem van andere systemen.
pure zever, zowel osx, ios, gnu lunix en android lunix zijn ( deels) op een gelijkaardige architectuur gebaseerd en Android heeft de laatste tijd veel last van malware, ook mac kwam de laatste tijd in het nieuws door het flashback virus, je kan dan wel beweren dat windows er veel meer heeft dan dat ene flashback virus, maar het marktaandeel van osx tov windows blijft in praktijk nog altijd miniem (ik dacht 5 percent ofzo).Gnu linux heeft maar iets van een 1 percent ofzo, dus deze heeft voorlopig ook nog altijd weinig lust van malware. De verklaring voor de kleine hoeveelheid ios malware is simpel, het systeem is helemaal gesloten en men kan er enkel door appel gescreende apps op instaleren, wat dus niets met architectuur te maken heeft. Het is trouwens zo dat sinds microsoft de overschakeling naar NT gemaakt heeft er niets mis is met de architectuur van windows.
Conclusie: het aantal malware is recht evenredig met de populariteit van een platform!

ps: getijpt via de tweaker app voor Android dus sorry voor de spelfouten
trojans zijn geen virussen ... het is malware.
virus is malware.
Flashback was een trojan

Daar zitten wereld van verschil want trojans kunnen op elk OS binnen komen als de gebruiker zich laat verleiden.

Een virus kan binnen dringen en zichzelf verspreiden zonder tussenkomst van de gebruiker.

Android Store ... laatst las ik nog dat bijna alle Android toestellen besmet waren met malware. Denk je dit nu echt met populairiteit te maken heeft? ik zie het namelijk compleet anders. Het heeft te maken met de manier waarop je beveiliging uitvoert. En ik denk Google dat ook wel ingezien heeft en daarom ook strenger zal gaan beoordelen.
Ze blijven jonger worden...

Maar als ik er zo beetje over google waardoor dat komt, schijnt het dat de ouders die kinderen al heel snel naar summerschools brengen, omdat ze weten dat hier geld te verdienen valt.

Toen ik jong was mocht ik gewoon buiten spelen.. :P
Ik ben nu op dezelfde leeftijd als die jongen, en houd me ook heel veel bezig met pc's (al vanaf mijn 4de zelfs). Maar doe ook andere dingen. En zeker, er valt geld mee te verdienen....
Vanaf je 4e 8)7

Ik ken ook zo iemand. Maar die komt nooit meer buiten en verkloot school helemaal. Maar dat hoeft natuurlijk niet perse.
Valt wel mee hoeveel jonger ze worden. Genoeg mensen van pak hem beet 20/30 jaar hebben in het begin van hun puberteit applicaties gebouwd in bijvoorbeeld BASIC.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True