Acquisti In-App Nuovamente Violati: questa volta è il turno del MAC App Store [Tutorial]

Il noto hacker russo che ha sconvolto Apple con il recente exploit che ha permesso agli utenti iOS di realizzare transazioni gratuite nell’ambito del sistema degli acquisti in-app è tornato a far tremare Apple e i suoi sviluppatori, riuscendo ad aggirare la sicurezza del MAC App Store.

Il metodo utilizzato non differisce molto da quanto visto in precedenza per tutti i dispositivi iOS: l’installazione di un certificato di sicurezza “modificato” e la modifica dei DNS fanno in modo che il vostro MAC si connetta in realtà ai server russi, piuttosto che al server ufficiale Apple, per la verifica dei vostri acquisti.

Vi ricordiamo come sempre che la procedura è altamente rischiosa, in quanto non si hanno rassicurazioni – a parte quelle fornite dall’hacker stesso – circa la non memorizzazione dei vostri dati personali. Pertanto non ci riteniamo responsabili di eventuali danni indotti e/o causati indirettamente al vostro MAC.

 Fatte le debite premesse, passiamo ora ad illustrare la procedura che ricordiamo può essere eseguita a partire dalla versione 10.7 (Lion) di OS-X.

    1. Procedete innanzitutto al download dei certificati necessari, da scaricarsi nell’ordine indicato dai rispettivi nomi:
      1. PRIMO
      2. SECONDO
    2. Per scaricare i certificati utilizzate Safari e salvateli utilizzando il comando “CMD+F” e selezionate le seguenti  opzioni:
      • Export as *pem
      • Format: Page Source
      • Quindi selezionate il pulsante “Salva” e successivamente la voce “Non Aggiungere” per non aggiungere il suffisso *.txt al nome.


  1. Eseguite un doppio click sul Primo Certificato che dovrebbe essere aperto dall’applicazione “Key Chain”. Selezionate l’opzione “Reputa sempre attendibile” quindi inserite le vostre credenziali di accesso e selezionate la voce “Aggiorna Impostazioni
  2. Eseguite ora il Secondo Certificato, e ripetete la procedura di cui al punto precedente.
  3. Scaricate l’utility GRIM Receiper che vi consenitrà di tenere una copia delle vostre ricevute originali ( in locale ). Estraete l’archivio e montate l’applicazione in una qualsiasi directory.
  4. Recatevi in Preferenze di Sistema –> Rete ed impostate i vostri DNS su uno dei seguenti indirizzi: 94.228.221.10, 91.224.160.136
    (Selezionate quindi la voce Rete–>Avanzate–>DNS–> cliccate sul pulsante “+” –> Inserite uno degli indirizzi di cui sopra–>cliccate sul pulsante Ok–>selezionate il pulsante Applica )

  • A questo punto non vi resta che eseguire Grim Receiver ogni volta decidite di utilizzare il metodo di in-appstore.com. Avviate l’utility e selezionate il pulsante “Just let me do smth”. Trascinate quindi l’applicazione per la quale volete eseguire l’hack degli in-app purchase sul Grim Receiver: in questo modo quando proverete ad eseguire un acquisto vedrete comparire la finestra seguente
  • Inserite delle credenziali fasulle e procedete ! 😉

 

Attenzione: se visualizzate l’avviso standard “Sei sicuro di voler procedere con l’acquisto?” allora non siete connessi ad in-appstore.com e pertanto la procedura non è andata a buon fine.

Dopo “l’acquisto” dovrete reimpostare i vostri DNS per poter accedere nuovamente ad internet e al MAC App Store in “modalità normale”.

Se volete contribuire alla longevità del progetto potete eseguire una donazione tramite BitCoin utilizzando il seguente codice identificativo: 15GCBL7gHbf2p8bapozSrZhNaXdrKUWRFF

Non riusciamo ad immaginare le motivazioni che hanno spinto lo sviluppatore di questo hacka  continuarne lo sviluppo per iOS e addirittura a spingersi oltre violando il sistema del MAC App Store ( sarà il brivido della sfida ad Apple? O sarà forse il suo modo di protestare contro il sistema degli acquisti in-app? ) tuttavia con quest’ultima release ha sicuramente “pestato i piedi” a molti, tra Apple e Sviluppatori di software. E mentre questi ultimi non dispongono di sufifcienti riserve economiche, apple può vantare una vasta schiera di addetti legali pronti a dar battaglia al responsabile di questo sistema di frode per gli acquisi in-app: speriamo che gli sviluppatori possano sfruttare queste informazioni per testare la sicurezza delle proprie applicazioni, e invogliamo gli utenti a non abusare di questo nuovo hack poichè la reazione di Apple potrebbe di molto superiore ad un semplice fix rilasciato sulla pagina del DevCenter.



Fonte: TheNextWeb


5 commenti

    1. Sicuramente il sistema è adottato da molti Giochi, ed anche da alcune applicazioni nelle sezioni Finanza e Sviluppo. Al momento non è disponibile una lista completa delle app che ne fanno uso – parimenti a quanto accade su iOS.

  1. Per caso, è come su iOS che dovrebbe esserci una voce al riguardo direttamente nella pagina dell’app? Perché proprio io non ne ho trovate!

    1. Si certamente: nelle app che supportano l’acquisto di contenuti extra trovi una sezione dedicata al loro interno dove vengono offerti i vari pacchetti da acquistare. ( puoi accorgerti della presenza degli in-app purchases anche quando visualizzi l’app sul MAC App Store per la presenza,nella colonna di sinistra, della sezione “Top Acquisti InApp”)

  2. Ma scusate, CMD+F è il comando per cercare una parola nella pagina web non per far uscire le opzioni che avete scritto.
    Cosa devo fare?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.