Un contournement des In-App sans jailbreak [MàJ]

Florian Innocente |

9to5Mac rend compte d'une méthode mise au point par un développeur russe afin de tromper le système d'achat In-App d'iOS et d'obtenir gratuitement des contenus par ailleurs payants.

Ce mécanisme fonctionnerait depuis iOS 3 jusqu'à iOS 6. Tel qu'il est décrit - et il semble effectivement fonctionner d'après 9to5Mac, même si ce n'est pas systématique avec toutes les applications - il n'oblige pas à jailbreaker son téléphone ou iPad.

Il fonctionne après avoir installé deux certificats et modifié des DNS dans ses réglages Wi-Fi sur son appareil pour pointer vers son proxy. Ce sont alors les serveurs de ce développeur qui sont interrogés, ce qui pose au passage quelques questions de sécurité (en plus du piratage auquel invite cette découverte). Ce hacker a déjà dû changer d'adresse pour son site, il parle d'un afflux important de visiteurs. Mieux, il propose aux utilisateurs de son système de lui faire des dons pour améliorer son service…

[MàJ] : Apple a déclaré à The Loop : « La sécurité de l'App Store est extrêmement importante pour nous et la communauté des développeurs. Nous prenons très au sérieux les signalements d'activités frauduleuses et nous sommes en train d'enquêter ».

Tags
#in-app
avatar Yassinou59 | 
Tiens c'est marrant hier je me demandais si y'avait pas moyen de tromper les IAP avec un proxy... Bingo.
avatar Raviol | 
@redchou : c'est vrai que celle la est pas mal mdr ;-)
avatar indycroft | 
@redchou Adricol0 dit que si l'on veux contourner les achat in-app, il est plus simple de Jaillbreaker son téléphone que d'utiliser cette méthode. Il n'a pas tord. Maintenant, à aucun moment il n'a dit (même s'il le pense peut-être, je n'en sais rien) que le jaillbreak servait uniquement à ça.
avatar Homer Simpson | 
vi vi, c'est ça. On te croit. Ceci dit, ce que tu dis là est en parfaite contradiction avec ton premier commentaire.
avatar indycroft | 
@marc_os Bon je ne connais pas Adricol0 et je ne tiens pas à le défendre mais les erreurs de raisonnement de ce genre m'énervent au plus haut point! post 1 : "C'est quand même plus simple, plus rapide, et plus sécurisé d'utiliser le Jailbreak" post 2 : "Pour moi, je n'utilise pas le Jailbreak pour cracker des apps ( et leurs In-App ). Mais pour personaliser et modifier mon iOS. Je déteste les gens qui débrident leurs appareils uniquement pour les cracks (c'est à dire 90% des personnes qui jailbreak ...)" Où est la contradiction? Il n'y en a pas. Je peux dire : "c'est plus simple de tuer quelqu'un avec un couteau qu'avec une paille" puis : "mais moi je ne me sers pas des couteaux pour tuer les gens mais plutôt pour couper ma viande" sans entrer en contradiction.
avatar Oh la belle Pomme | 
Pourquoi plus sécurisé ?
avatar ElGringo13 | 
Comme ca plutot que de donner votre argent aux devellopeur faite un don au mec qui vous permet de contourner les regles. Mais quel monde!
avatar Yassinou59 | 
@hari-seldon : tu parles de megaupload là ? Ah non :D
avatar Homer Simpson | 
En fait les gens qui vont passer par son proxy ne vont pas lui donner d'argent directement. Ils vont juste lui donner toutes les informations nécessaires pour se faire pirater leur compte iTunes. Les requêtes faites par l'iPhone à l'App Store aterrissent sur le serveur du gugus au lieu de l'App Store. C'est la base de son ack. Dans ces requêtes, il y a votre identifiant, celle de l'application, et bien sûr les mots de passe - ou leur hash - qui vont avec. Bref, tout ce dont a besoin l'App Store pour vous identifier. Edit : D'après http://9to5mac.com, il n'y a pas de mot de passe envoyé, mais quand même pas mal de choses. De plus, il semblerait que cela ne concerne que les Applications qui ne valident pas les certificats lors d'achats In-App comme préconisé par Apple.
avatar hdub | 
@hari-seldon +10000 aussi, ahurissant !
avatar chmgd | 
Après, on va se plaindre qu'Apple met trop de sécurité dans ses systèmes...
avatar napuconcture | 
De ce que j'ai lu à droite à gauche, c'est plutot l'inverse qui va se passer et que ce soit sur mobile ou autres periphériques les jeux payants vont disparaitre au profit des freemium (cf : ubisoft, blizzard et EA).
avatar Satoral | 
Si tu regardes Universal Movie Tycoon… par exemple. Le jeu de management qui a été développé pour le centenaire du studio quoi… il était même pas gratos à la base (il coûtait 3 euros à la base), j'ai calculé qu'il fallait foutre 60 euros en achats in-apps pour le finir dans des délais raisonnables. Au rythme où il t'attribue la "tune" pour évoluer, tu mets 5 ans et 3 mois à le finir en jouant tous les jours… (parce qu'en plus, on te récompense si tu regardes vraiment de la pub, c'est ton choix de la regarder quoi… mais les pubs sont limitées à 2 par jour apparemment… et les bâtiments à la fin, qui sont nécessaires pour finir le jeu… demandent 400 fois 2 fois de la pub… soit 400 jours consécutifs à mater de la pub… Même un arbre à la con, te faut mater deux pubs par jour pendant un mois…) Donc, là c'est clairement abusé. Maintenant, tu as des devs comme Nimblebits ou ceux de Halfbrick (Jetpack Joyride est tellement souvent gratos que je l'inclus dans la catégorie Freemium en fait) qui abusent pas sur les achats in-apps. En gros, ils n'essayent pas de freiner l'évolution artificiellement quoi. L'achat in-app est un raccourci. Donc… c'est pas forcément le modèle qui est mauvais (il peut servir à récompenser les devs d'un jeu auquel tu joues souvent par exemple), mais ce sont certains devs qui pètent un plomb en pensant que nous sommes des pigeons… Conclusion : Apple pourrait très bien (ils ne se gênent pas par ailleurs de toute manière) MAJ les guidelines en disant qu'un jeu freemium où des choses artificielles sont prévues pour pousser à l'achat in-app se verront retirés de l'AppStore…
avatar thepretender57 | 
Mon rêve? Contourner les iAd!! Car lorsque c'est un gentil bandeau ça va, faut que tout le monde vive... Mais quand ça clignote de partout ( comme sur votre appli... C'est insupportable...) Désolé mais dès que je peux les supprimer je me priverai pas... Sauf si vous pouvez contrôler ce qui passe...
avatar tonstef | 
@durandale21 : 'Mon rêve? Contourner les iAd!! Car lorsque c'est un gentil bandeau ça va, faut que tout le monde vive... Mais quand ça clignote de partout ( comme sur votre appli... C'est insupportable...) Désolé mais dès que je peux les supprimer je me priverai pas... Sauf si vous pouvez contrôler ce qui passe...' Si vous parlez de MacG, rien ne vous empêche de vous abonner pour ne plus avoir de pub.
avatar Emmanuel aime attendre | 
@LaurentR : je pense que ce dont durandale21 se plaint, c'est la pub qui est présente depuis quelques jours et qui fait plus office de guirlandes de noël telles celles des sites les moins fréquentables que pub sobre qu'on a l'habitude de voir sur des sites conventionnels. Et que ça perturbe énormément la lecture. Et je suis d'accord avec lui.
avatar drkiriko | 
Et personne s'est dit qu'il suffisait simplement de recouper la liste d'achats inapp avec le compte CB d'une personne pour savoir qui a payé ou pas ? C'est un peu comme sur le Xbox Live, certains sont tout contents de tirer plus vite ou plus précisément que les autres (tir à la personne par ex) sans penser qu'une simple moulinette va déceler en 2 sec que tirer à travers les murs c'est aussi et forcément via une console crackée. Et puis comme certains l'ont noté, être prêt à débourser de l'argent pour un hackeur et ne pas mettre 79 cts pour aider un dev c'est très c..

CONNEXION UTILISATEUR