Pedro Santamaría
Las compras in-app (posibilidad de realizar compras desde la propia aplicación) son noticia estos días. No por sus numerosas ventas sino por un fallo descubierto en la API de Apple que podría haber permitido más de 30.000 ventas falsas.
Alexey Borodin ha conseguido mediante la instalación de unos certificados y el cambio de las DNS del teléfono realizar compras sin que se llegue a realizar ningún cargo en nuestra cuenta.
El funcionamiento es el siguiente. Borodin con el cambio de DNS e instalación de certificados era capaz de interceptar las compras in-app en su servidor en lugar del de Apple. Este servidor devolvía a la aplicación un certificado de compra haciendo pensar a la app que el pago se había realizado.
Además, en caso de que las aplicaciones pidan verificar el certificado de compra nuevamente el servidor volverá a interceptar la petición y responderá que sí, que es válido.
Como veis, malas noticias para muchos desarrolladores que veían en las compras in-app una forma de ofrecer aplicaciones gratuitas y obtener beneficios a posterior.
Apple ha realizado un comunicado donde comentan la importancia de la seguridad de la App Store para ellos y su comunidad de desarrolladores. Además afirman que están investigando el asunto pero que el método no funciona en todas las aplicaciones. Igualmente, aunque se pueda realizar este hack para conseguir compras sin pagar no es nada recomendable. Y es que, los usuarios estarían enviando información sobre sus cuentas de iTunes Store a servidores rusos.
Es implica un grave problema para los usuarios que se lancen a conseguir compras sin pagar ya que estarán entregando datos personales pero lo más importante, sus números de tarjetas asociadas a su cuenta de iTunes.
Veremos qué métodos aplican los desarrolladores para evitar estas perdidas o si tendrán que esperar a la corrección por parte de Apple en su API. Lo menos malo es que mantener un servidor para tales funciones es caro por lo que quien quiera imitar a Borodin no lo tendrá tan fácil.
Vía | Genbeta | The Next Web
En Applesfera | Los desarrolladores quieren más seguridad en sus aplicaciones de pago
Ver 95 comentarios
95 comentarios
rcdepor
Gastarse 500 euros en un móvil y rapiñar unos pocos euros en apps...
darkness69
Lo peor no es que alguien piratee programas hechos con un gran esfuerzo de gente que necesita esas ventas para vivir. Lo más increíble es que además se sienten héroes. Luego nos preguntamos por qué estamos como estamos.
jorgecriado
No compro yo instalando un certificado ruso ni borracho. Así de simple. ¿Te regala la compra in app? Tranquilo, ya te lo sacará por otro lado. Me enseñaron de pequeño que nadie da duros a pesetas ;)
murspain
Aquí en España el pirateo es un movimiento cultural y social. Se ve normal. No me extraña que desde fuera no nos tomen en serio. Nos acabaremos cargando la industria informática en este pais. Ninguna empresa de productos tecnológicos e informáticos querrán vender en España, porque no respetamos el trabajo de los desarrolladores. No tenemos mesura. Es completamente absurdo llenarte de aplicaciones que luego no usas. ¿Para qué?. Sólo para presumir que las tienes sin pagar. Como si eso fuera un mérito o motivo de envidia, cuando lo que me da es lástima o vergüenza. Igual que los que presumen de ir con su coches por las autopistas a 200 por hora, poniendo en peligro la vida de terceros, sólo para chulear.
demadridalcielo
por ciero esto lleva bastante tiempo en cydia
23980
Bueno, como este tema me toca directamente, voy a decir algunas cosas: 1) Las Apps que te bajas las han hecho desarrolladores independientes (como yo). Uno de cada 100.000 consigue hacer un Angry Birds y se forra, el resto nos comemos los mocos y tenemos que vivir de hacer aplicaciones promocionales para empresas 2) El 90% de los desarrolladores que hacen Apps por libre sacan lo justo para pagar la mitad de su factura de la luz. Y eso no depende de lo interesante que sea tu App, depende de la suerte y de que hagas una buena promoción fuera de la tienda (es decir, depende de que inviertas una cantidad de dinero que no tenemos) 3) Los desarrolladores no tenemos ninguna SGAE que recaude indiscriminadamente (y aunque la tuviéramos no serviría de nada: la pasta se la quedarían las cuatro grandes empresas) 4) Si después de esto te bajas apps pirata y sigues durmiendo tranquilamente por la noche, es porque te estás engañando a ti mismo.
Lo que pasa es que al final pagan justos por pecadores, y eso no está bien. Para que os hagáis una idea, ahora tengo un proyecto a mitad y me estoy planteando muy seriamente si la traduzco a castellano o la dejo como está (en inglés y alemán). Por supuesto acabaré traduciéndola, porque si que tengo usuarios en España, y me parecería muy injusto, pero si yo tengo esa duda, imagínate un desarrollador de fuera que tiene que pagar a un traductor.
jaredsk8
pues si se ve peligroso si tienes datos personales bancarios reales en tu cuenta de itunes, pero como seguro muchos saben hay cuantas de ciertos paises que se pueden abrir sin vincular numeros de tarjetas bancarias, y si ademas esa cuenta la vinculas a un correo inutil de esos que dicen que eres michael jordan y vives en la atlantida pues ya chingaste
elmuymac
Bueno, PARA TODOS LOS INCAUTOS QUE ESCRIBEN AQUI y que van de listillos, en esa operación como mencioné arriba, le estás dan tu ID único del iPhone al hacker ruso:
http://www.tuaw.com/2012/07/13/russian-hacker-circumvents-ios-in-app-purchases/
y si alguno no tiene ni pajolera idea de inglés, pues básicamente es como darle tu DNI a los que van a robar el banco…
victor.redondovargas
No es por nada, pero esto no es para nada noticia. hay aplicaciones en Cydia que hacen esto, y con casi todas las aplicaciones de la appstore. y repito, aplicaciones, no aplicación, que además hay opciones. Y todo esto desde hace bastante tiempo (la primera vez que lo vi fue hace un año)
alamix
Esto es mas absurdo que piratear mountain lion, 15€ frente a los mil y muchos de tu Mac. Gastate 400 pavos en un Vaio y ahorra para comprar software legal. Que queremos ver? Programadores ene el paro?
aitorjp
No sé si con una cuenta sin tarjeta vinculada podría funcionar también. Pero a mi lo que mas me preocuparía, no es solo el numero de cuenta, sino que todo el tráfico que generes pasaría a través de sus servidores, incluidas contraseñas (cifradas o no), mensajes, emails, absolutamente todo. Vendría a ser como un proxy invisible. Así que no cuenten conmigo, para ahorrarme unos euros. Un saludo
sunner
Por suerte no afecta a las aplicaciones que tengan una comprobación delegada de los certificados.
79615
No me fío ni mijita. Poca vergüenza minar el trabajo de los desarrolladores. espero que Apple solucione este desavío lo antes posible.
gochiestrella
Llevo un buen tiempo conociendo un método parecido pero nunca lo publiqué y nunca lo compartí con nadie, el problema estos métodos no es que puedas comprar dentro de aplicación gratis, el problema es que una vez actualizas el iPad o lo que sea la aplicación sigue con la compra realizada aunque restaures el iPad. Puedo afirmar que si usas este método en una aplicación que también tienes instalada en otro dispositivo, la compra in-app se activa en el otro dispositivo. No es Como la descarga ilegal de aplicaciones en la cual sí actualizas iPad la aplicación deja de funcionar.
Sobre las compras in-app tengo que decir que las apoyo totalmente, es una buena forma de poder descargar aplicaciones, probarlas y si te gusta la compras totalmente. El problema es cuando se usa este método para robar a la gente con ese método.
isidro.ortizbonilla
Vaya vaya eso hace tiempo que podia hacer.
1.paso tener un iphone, ipod touch o ipad. 2.paso tener jailbreak hecho. 2.paso descargar iapcracker de los repositorios de cydia. (nota no funciona con todas las applicaciones)
Carlos
Pues, prefiero pagar $0.99 y dormir tranquilo, sin temor a que me destrozen la tarjeta de crédito.
josemaria.sanchezmar
Las apps que estan crackeadas son las que se pagan por ellas, y la mayoría son cosas como monedas, paquetes de ayuda para los juegos, algunos efectos en las apps de fotografia y cosas así, osea no creo que ningun desarrollador se vaya a la calle porque no quieras gastarte 79,99€ en comprar mil monedas, muchos mezclais installous con iap cracker, y no es así, los juegos gratis aplicaciones gratis, no estan dentro de iap cracker, podeis hacer la prueba, intentar comprar cosas con ese tweak en algun juego gratis. y si hay alguno decidmelo.
Renato
En fin ¿y cual es la posición de Apple?
¿Quedarse callada? ¿Pagará Apple a los desarrolladores por las aplicaciones "compradas" de esta manera?
Y bueno, si alguien después tiene los datos bancários robados por usar este metodo, tampoco es que me pareceria mal.... de la misma manera que suelo disfrutar cuando alguien se pilla un virus por usar un keygen o cosas parecidas, soy así de malo... y claro yo Windows lo reinstalo y configuro todo el ordenador, pero no gratis ;)
Por otro lado, me pregunto porque a nosotros (y me incluyo) nos parece menos "etico" descargar una app sin pagarla de que descargar todo un CD o una peli. Si se gana dinero en conciertos y en cines... pero aun así... es como minimo raro.
demadridalcielo
el dia que dejen probar las apps el numero de pirateos bajara, yo lo uso para probar muchas apps, y menos mal, ya que muchas, repito muchs veces, las descripciones son claramente redactadas para engañar al posible cliente, por supuesto deberia ser appple quien controle eso, pero esta ya mas que visto que no lo hace y que sigue dando pase a dudosas apps, mientras frena desarrollos realmente interesantes
33489
Pues yo sabia que eso es posible con un tweak de cydia que se llama iAP cracker (en la repo de iphoneate) que lo que hace es que corta la comunicacion de las aplicaciones con el store y funciona con muchas aplicaciones.
19967
Llegaste un poco tarde con la noticia macho, desde el año pasado que hago compras in-app gratis. nunca vincule mi tarjeta en mi id de apple, no me calienta q saquen información, es toda falsa.
Wacko
Como todos los datos de mi cuenta de iTunes son falsos a mí no me preocupa, yo si he instalado iAp Cracker y me va perfecto.