iPhone App Tube : iPhone iPad Apps, Games, Jailbreak, Unlock, Mobile news

Hacker จากรัสเซีย พบช่องทางในการลักลอบซื้อ in-app purchase ฟรี โดยไม่จำเป็นต้องเจลเบรค

in-app purchase หรือ DLC นั้นก็คือ การซื้อสินค้า ไอเท็ม หรือบริการเสริม ภายในตัว แอพ โดยจะทำการชำระเงินผ่านบัตรเครดิต ที่ผูกไว้กับ Apple ID ซึ่งส่วนใหญ่ นิยม ใช้กันใน แอพ หรือเกม ที่แจกฟรี ตัวอย่าง in-app purchase ก็อย่างเช่น Sticker Shop ใน Line app นั่นเอง

ปกติแล้ว iPhone หรืออุปกรณ์ iOS จะมีความปลอดภัยสูง ซึ่งจะไม่สามารถโกง การซื้อ in-app purchse นี่ง่ายๆ ยกเว้นแต่เครื่องที่เจลเบรคแล้ว ก็สามารถติดตั้ง tweak app อย่าง iAP Free หรือ iAP Cracker เพื่อซื้อ in-app purchase มาใช้กันฟรี ๆ

แต่ล่าสุด แฮกเกอร์ชาวรัสเซีย Alexey Borodin ได้ค้นพบช่องโหวที่ สามารถซื้อ in-app purchase โดยไม่ต้องเสียเงิน โดยทำการหลอก server และ แอพ ว่าเสมือนว่าเราชำระเงินไปเรียบร้อยแล้ว โดยจำเป็นต้องเจลเบรค ซึ่งทางแอปเปิลก็รับทราบเรื่องนี้และ กำลังตรวจสอบอย่างเร่งด่วน

ขั้นตอนการใช้เทคนิคนี้ก็คือ
1. ติดตั้ง CA certificate
2. ติดตั้ง in-appstore.com certificate
3. เปลี่ยนค่า DNS record ที่ Wi-Fi Settings

ข้อจำกัดของการเทคนิคนี้ก็คือ ต้องต่อด้วย Wi-Fi เท่านั้น และทำการตั้งค่า DNS  ไปยัง in-appstore.com  ส่วนข้อมูลต่างๆ ที่ถูกส่งไปยัง proxy server ของทาง hacker ก็คือ

• restriction level of app
• id of app
• id of version
• guid of your idevice
• quantity of in-app purchase
• offer name of in-app purchase
• language you are using
• identifier of application
• version of application
• your locale

ทั้งนี้ แม้จะมีข้อมูล username และ password (แบบไม่เข้ารหัส) จะถูกส่งเข้าไปยัง hacker proxy server รวมอยู่แล้ว แต่จะไม่มีข้อมูลบัตรเครดิต ที่น่าประหลาดใจก็คือ แอพเถื่อนทั้งหลายที่ถอด DRM ออกไปแล้วจะไม่สามารถใช้วิธีการนี้ได้ ซึ่งแปลว่า ใครโหลดแอพเถื่อนจาก installous จะไม่สามารถโกง in-app purchase ด้วย วิธีการนี้ได้นั่นเอง

สรุปแล้ว ปัญหานี้ Apple คงรีบหาทาง ปิดช่องโหว่นี้อย่างเร่งด่วน เพราะมีผลกระทบต่อ รายได้ของทางแอปเปิล และรายได้ของนักพัฒนาแอพทั้งหลาย และใครที่อยากจะลองต้อง พึงระวังว่า ข้อมูลส่วนตัวสำคัญของคุณ จะถูกเก็บไว้ใน proxy server ของ hacker ซึ่งไม่แนะนำอย่างยิ่ง คงไม่คุ้ม

บทความนี้เขียนและเรียบเรียงโดย: ST.GiZMo

ติดตามข่าวสาร ของ iPhone, iPad ได้ทาง อีเมล, RSS feed หรือ Facebook Page รับรองไม่พลาดข่าว และบทความน่าสนใจ ส่งตรงถึงคุณทุกวัน ถ้าหาเรื่องที่ต้องการไม่เจอ ลอง ค้นหาข้อมูลในกล่อง search รับรองเจอง่าย ในคลิกเดียว ติดต่อ AppTube ได้ที่ "iphoneapptube @ gmail.com"