Comments 63
From Russia with love
Жесть :) Боюсь только потом как-нибудь побанят те акки, кто пользовался.
И правильно сделают. Если кто хочет воровать — пусть будут готовы и отвечать за это
Термин воровство здесь крайне не уместен. Так и представляю заголовоки в газетах: «Вася Пупкин украл у компании ХХХ миллион золотых монет, тысячу волшебных кристаллов и свинью десятого уровня». Это всё же ближе к читерству, чем к воровству.
Таким образом можно «покупать» журналы в newstand — явно не кристаллы.
Волшебный кристалл не появляется из вакуума — его нужно придумать, нарисовать, озвучить, запрограммировать, разрекламировать, продать и т.п. Всем этим занимаются обычные ребята, вроде меня, которые зарабатывают на хлеб себе, жене и своему ребёнку, а Вы «заголовки» )
Как разработчики iOS перепугались :) Вон Android и Widnows пользователи давно уже всё пиратят и ничего…
Я так понимаю, что это работает лишь для тех приложений, которые не проверяют достоверность сделанных покупок на своем сервере.
Похоже пофиксили, AppStore выдает вот это:
Hi, dude!
You connected to in-appstore.com, but…
Looks like you are using AppStore client. Please use application itself or remove DNS setting if you want to use AppStore client.
Remember, That in-appstore.com IS ONLY FOR LEGALLY PURCHASED APPS!
Hi, dude!
You connected to in-appstore.com, but…
Looks like you are using AppStore client. Please use application itself or remove DNS setting if you want to use AppStore client.
Remember, That in-appstore.com IS ONLY FOR LEGALLY PURCHASED APPS!
>Ни автор поста, ни разработчик не поощряют пиратство приложений из App Store.
Конечно, само собой.
Конечно, само собой.
Что с проверкой покупки на серверах Apple?
У меня сейчас нет возможности проверить, может кто сможет?
У меня сейчас нет возможности проверить, может кто сможет?
Ну этот сайт и выдаёт себя за сервер Эппла.
А чтобы его Эппл не забанил в тюрьму, он мог бы выложить исходники или образ сервера в публичный доступ.
По теме: а в каких играх/приложениях этот взлом имеет смысл? Мне на ум приходит только «Демократия» — денег бесплатно купить :)
Ну ещё Энгрибёрдс — орлов можно накупить, чтобы неосиленные уровни перепрыгивать, но я уже прошёл все уровни с тремя звёздами.
А чтобы его Эппл не забанил в тюрьму, он мог бы выложить исходники или образ сервера в публичный доступ.
По теме: а в каких играх/приложениях этот взлом имеет смысл? Мне на ум приходит только «Демократия» — денег бесплатно купить :)
Ну ещё Энгрибёрдс — орлов можно накупить, чтобы неосиленные уровни перепрыгивать, но я уже прошёл все уровни с тремя звёздами.
Безумно дорогие для студента карты в Palm Kingdoms 2 :)
Скорей всего хак бессилен при проверке уникального ID покупаемого итема, который знает только девелопер и apple, если так, то такую защиту не обойти, по крайней мере ломалки из сидии с ней не справляются. Как доберусь домой, проверю…
А про покупки… ну тут поле огромное, не только развлекательные приложения, но и достаточно крупные программы используют In-App Purchase, в голову пока приходят навигаторы или словари…
А про покупки… ну тут поле огромное, не только развлекательные приложения, но и достаточно крупные программы используют In-App Purchase, в голову пока приходят навигаторы или словари…
Журналы в newstand.
Он выдает себя за сервер эппла только для приложения, а как быть с in-app, которые проверяются через свой веб-сервер, который уже проверяет уже у настоящего apple? как это будет работать?
Если есть джейл, то можно и просто поставить, а не использовать непонятно какие сертификаты. А вообще весь труд должен быть оплачен, и разработчиков ПО это тоже касается.
Было бы интересно увидеть в чем заключается «обход» защиты Apple Store, именно весь механизм.
Он разобрался со структурой передаваемых данных. Что, Как и Куда Уходит из Девайса и в каком виде приходит. с Подписями сертификатов. а-ля Эмулятор АппСтора.
Если делать (писать приложения) «как правильно» (с перепроверкой receipt на своем сервере), «схема» — НЕ работает. Можно спать спокойно. Паника — Отменяется.
Если делать (писать приложения) «как правильно» (с перепроверкой receipt на своем сервере), «схема» — НЕ работает. Можно спать спокойно. Паника — Отменяется.
Сайт разработчика уже не доступен. Хабраэффект или заблочил хостер по жалобе?
Надеюсь, Apple позаботится немного о нас, простых разработчиках. Содержать еще свой сервак ради защиты — несколько накладно.
Кстати, давно хотел спросить — а есть ли уже какие-то свободные или коммерческие решения для In-App Purchases, загружаемых с сайта разработчика, то есть админка для публикации электронного контента с интеграцией с сервисом Apple? Надеюсь, ясно выразился.
Кстати, давно хотел спросить — а есть ли уже какие-то свободные или коммерческие решения для In-App Purchases, загружаемых с сайта разработчика, то есть админка для публикации электронного контента с интеграцией с сервисом Apple? Надеюсь, ясно выразился.
1. Поставить корневые сертификаты двух CA, которые вроде как сертификаты Verisign и Apple, но, тем не менее, в системе они по умолчанию не установлены. Так что теперь владелец приватных ключей от этих сертификатов может подписать ими любую вещь, и она в систему поставится как родная, оригинальная. Когда система будет сопротивляться установке левого сертификата, проигнорировать.
2. Задать системным DNS не какой-то общеинтернетный сервер, а чью-то виртуалку на Clodo. Когда система будет сопротивляться, проигнорировать, джейлбрейкнув.
Слышал легенду, что в 90-ые года, во времена модемов и всеобщего поиска «халявных интернетов», существовал, причём долго существовал, сайт. На нём было две страницы: «халявные логины» и «кракер интернета». На странице «халявных логинов» можно было увидеть список логинов-паролей, которые можно было ввести… и они действительно, как правило, работали. Возможно, не все, недолго, но какое-то время на прочитанном там логине можно было посидеть.
Страница существовала достаточно долго, потому что пароли там действительно регулярно обновлялись, всегда было хоть немного, но халявы. Впрочем, если человеку не хватало найденных там логинов-паролей, то он мог пойти на вторую страницу этого же сайта, скачать там «кракер интернета», ввести в него свой логин-пароль…
2. Задать системным DNS не какой-то общеинтернетный сервер, а чью-то виртуалку на Clodo. Когда система будет сопротивляться, проигнорировать, джейлбрейкнув.
Слышал легенду, что в 90-ые года, во времена модемов и всеобщего поиска «халявных интернетов», существовал, причём долго существовал, сайт. На нём было две страницы: «халявные логины» и «кракер интернета». На странице «халявных логинов» можно было увидеть список логинов-паролей, которые можно было ввести… и они действительно, как правило, работали. Возможно, не все, недолго, но какое-то время на прочитанном там логине можно было посидеть.
Страница существовала достаточно долго, потому что пароли там действительно регулярно обновлялись, всегда было хоть немного, но халявы. Впрочем, если человеку не хватало найденных там логинов-паролей, то он мог пойти на вторую страницу этого же сайта, скачать там «кракер интернета», ввести в него свой логин-пароль…
Сменил пароль от учётки, поставил серты, прописал DNS, «купил» всё, что надо, откатил DNS, удалил серты, вернул пароль взад.
Систему из гарантированно чистых источников перенакатил? А то, имея на мобильном устройстве жертвы поставленные самой жертвой корневые сертификаты (читай: возможность ставить что угодно без вопросов), свой DNS (читай: свой интернет, способный сэмулировать любой IP-трафик, причём, благодаря сертификатам, даже SSL) и… там было написано, что Apple ID/пароль тоже вводить надо было, или мне показалось?..., при желании, кажется, с этим айпадом-айфоном можно было сделать всё, что угодно, даже за короткий период между установкой хака и отключением хака.
Да-да, у меня избыточная паранойя, я знаю.
Да-да, у меня избыточная паранойя, я знаю.
Если бы можно было исполнять код, просто прописав свои серты и DNS, никто бы не копался в недрах iOS в поисках пяти эксплоитов на разных уровнях абстракции ради джейлбрейка.
Появилась запись у разраба в блоге. Отрывок оттуда:
Currently service is down due to high load. Currently we have VPS with 512mb memory aboard, and there is no way to satisfy everyone with such hardware.
Apple is a big company, I am not.
Currently service is down due to high load. Currently we have VPS with 512mb memory aboard, and there is no way to satisfy everyone with such hardware.
Apple is a big company, I am not.
Запущен новый сервер в safe-mode. Обновил пост.
А вот и я. Наконец кто-то мне дал инвайт. Ну что, пока что IP сервака забанен. Ждем прокси.
Ставить на устройство левые рутовые сертификаты и перенаправлять ДНС ради халявной долларовой покупки? Ну-ну, вперед, хомячки!
… Продажа воздуха продолжала шириться…
Очень согласен со словами Столлмана, сказанными им про Жопса
Типа — я не рад, что он умер, но я рад, что его больше нет — никто из нас не заслуживает смерти, но все мы заслуживаем прекращения отрицательного влияния мистера Жопса на наши девайсы.
Очень согласен со словами Столлмана, сказанными им про Жопса
Типа — я не рад, что он умер, но я рад, что его больше нет — никто из нас не заслуживает смерти, но все мы заслуживаем прекращения отрицательного влияния мистера Жопса на наши девайсы.
Все получается, только вот в тот момент когда приходят заветные платные бонусы, они тут же и уходят...(((
Вот что получается а толку мало…
Сейчас не фурычит уже.
Вы не думали, что каждый монетизирует свое приложение тем образом, который считает более выгодным или удобным?
Я надеюсь, вы не считаете, что разработка и продажа программного обеспечения приравнивается к продаже воздуха?
И да, Женек Касперский, пожалуй, положительное влияние оказал бы на наши девайсы, это точно.
Я надеюсь, вы не считаете, что разработка и продажа программного обеспечения приравнивается к продаже воздуха?
И да, Женек Касперский, пожалуй, положительное влияние оказал бы на наши девайсы, это точно.
UFO just landed and posted this here
Может Apple ему после этого работу предложит.
Пофиксил, надо сначала выйти-из аккаунта, а потом ввести рандомные данные. эппл что-то там поменяла, а у меня (вот блин ирония) у провайдера кабель сдох.
Выше товарищи говорили про скачивание журналов — не работает.
Я так понимаю, что если внутриигровая логика просто делает ++ к деньгам — всё работает, если программа соберется что-то скачать для своих нужд — ничего не выйдет.
Я так понимаю, что если внутриигровая логика просто делает ++ к деньгам — всё работает, если программа соберется что-то скачать для своих нужд — ничего не выйдет.
Уже не работает :((((
работает! Но не во всех приложениях ((
Можно еще и в Mac App Store тоже самое делать, но мне нужна помощь в написании одной утилиты.
Для своих программ использую такой подход: при In-App покупке сохраняю данные транзакции, но и не не заморачиваюсь супер-валидацией. Через неделю посылаем запрос на корректность покупки и в случае явного подлога покупку откатываем. Никто не будет держать у себя фейковый DNS все время, а за неделю человек решит для себя, хочет он купить данную фичу, или она ему совсем не нужна. Ну или таки снова сломает. )
Получается как-бы расширенный триал для тех, кто не ленится ломать/джейлить. Все-равно если человек принципиально не покупает, то бороться с ним нет смысла, это только отвернет его от программы и уменьшит аудиторию продукта. Потому же и раздаю промо-коды тем, кто не ленится их попросить.
Получается как-бы расширенный триал для тех, кто не ленится ломать/джейлить. Все-равно если человек принципиально не покупает, то бороться с ним нет смысла, это только отвернет его от программы и уменьшит аудиторию продукта. Потому же и раздаю промо-коды тем, кто не ленится их попросить.
Нужен человек, шарящий в SSL… Но думаю, no way все-таки, в эппле не глупые люди работают=)
Sign up to leave a comment.
Расшифрован механизм In-App App Store