Pengkodean yang ceroboh di beberapa game iOS populer memungkinkan peretas untuk memberi diri mereka sendiri dan orang lain pembelian dalam aplikasi senilai ribuan dolar secara gratis.
Lubang itu ditemukan oleh pengembang di DigiDNA, pencipta alat cadangan yang disebut iMazing yang memungkinkan pengguna iPhone dan iPad untuk mengakses sistem file tersembunyi perangkat mereka. Pengembang menemukan bahwa fitur pencadangan/pemulihan aplikasi di iMazing 1.3 memperlihatkan kelemahan dalam cara permainan seperti Angry Bird 2 dan Gratis Tetris menangani pembelian dalam aplikasi.
Untuk menunjukkan betapa mudahnya meretas pembelian dalam aplikasi menggunakan metode ini, tim DigiDNA mengubah Angry Bird 2 untuk memulai permainan dengan 999.999.999 permata — setara dengan $10.000 kredit dalam game.
Rovio's Angry Bird 2 gratis untuk diunduh, tetapi untuk maju, gamer harus membayar untuk bermain menggunakan apa yang disebut “pembelian dalam aplikasi.” Game ini diunduh lebih dari 20 juta kali di minggu pertama.
Cacat ini dapat menghilangkan pengembang dari peningkatan dalam game yang menghasilkan pendapatan setelah unduhan awal. Apple membayar pengembang lebih dari $10 miliar pada tahun 2014, membuat apa yang disebut ekonomi aplikasi lebih besar dari Hollywood.
Pembelian dalam aplikasi adalah model bisnis yang disukai pembuat aplikasi. Banyak aplikasi gratis untuk diunduh, tetapi memerlukan pembelian dalam aplikasi untuk membuka kunci fitur, naik ke level berikutnya, atau menghapus iklan. Ini sangat populer di game. Hilangnya pembelian dalam aplikasi secara teoritis dapat menghabiskan banyak uang jika mereka tidak mengamankan kode mereka.
“Banyak aplikasi lain yang rentan,” kata Jérôme Bédat, salah satu pemilik DigiDNA, yang menemukan kelemahan tersebut.
Foto: iMazing
Peretasan datang di belakang Wahyu XcodeGhost, yang mengungkapkan bahwa lusinan aplikasi telah tercemar malware, termasuk — sayangnya untuk Rovio — versi China dari Angry Bird 2.
Cacat ini ditemukan oleh Gregorio Zanon, salah satu pemilik DigiDNA, saat dia sedang menguji versi baru dari DigiDNA. alat cadangan iMazing. Dia menemukan bahwa cadangan game populer seperti Angry Bird 2 dan Gratis Tetris dapat ditransfer dari satu ID Apple ke ID Apple lainnya, termasuk pembelian dalam aplikasi apa pun.
Zanon menguji lima aplikasi yang mengandalkan IAP (Angry Bird 2, Lari Kuil 2, Gratis Tetris, Permen naksir dan Pertarungan antar suku) dan memposting hasilnya di blog DigiDNA.
Jangan salahkan Apple atas kerentanan ini
DigiDNA mengatakan kerentanan itu bukan kesalahan Apple. Masalahnya adalah apa yang disebut Zanon sebagai "pengkodean malas" oleh pengembang aplikasi. Pembuat aplikasi yang disusupi sama sekali tidak mengikuti Apple rekomendasi untuk mengecualikan item yang dibeli dari cadangan. Sebagai gantinya, aplikasi yang terpengaruh menyimpan item yang dibeli di kotak pasir aplikasi, yang dapat diakses dalam cadangan.
Kelemahan pembelian dalam aplikasi sebelumnya dapat dimanfaatkan dengan mengedit dan memulihkan cadangan iOS yang berisi data yang diretas. Namun, pemulihan penuh seperti itu memakan waktu, itulah sebabnya banyak orang tidak pernah memanfaatkan kekurangannya. Dengan alat pencadangan baru seperti iMazing, yang menghilangkan gesekan cadangan lengkap, pengguna dapat mengekspor pembelian dalam aplikasi yang diretas dengan mudah dan membagikannya.
Semua yang harus dilakukan pengguna untuk mendapatkan pembelian dalam aplikasi "gratis" di perangkatnya adalah membuka iMazing dan mengembalikan file aplikasi ke perangkat mereka, yang hampir tidak membutuhkan waktu satu menit. Kerentanan tidak memungkinkan peretas untuk memanipulasi kode aplikasi itu sendiri, tetapi itu membuatnya sangat mudah untuk mendapatkan pembelian di perangkat Anda dari orang lain.
Aplikasi dapat menjadi rentan dalam dua cara: Pembelian yang dapat ditransfer dan mata uang dalam game yang dapat disesuaikan. Yang terakhir adalah skenario terburuk, memungkinkan mata uang dalam game dimanipulasi ke tingkat yang sangat tinggi dengan mengedit file yang tidak terenkripsi dalam cadangan. Pengguna kemudian dapat membuat cadangan aplikasi dan membagikan tambalan secara online (dalam bentuk file .imazingapp).
“Satu pengguna dapat membeli IAP dan menyebarkan status aplikasi ke pengguna lain dalam jumlah tak terbatas,” kata Zanon. “Satu membeli, banyak yang menikmati.”
Perwakilan Apple yang dihubungi oleh Cult of Mac tentang kerentanan menolak berkomentar. Rovio dan Electronic Arts belum menanggapi permintaan komentar.
Zanon dan rekan-rekannya hanya menguji beberapa aplikasi, tetapi menemukan bahwa sekitar setengahnya rentan. Mereka pikir masalahnya tersebar luas dan ribuan aplikasi berpotensi rentan terhadap kekurangan tersebut.
"Posisi kami sangat jelas," kata Zanon. “Kami tidak ingin pengguna kami meretas IAP. Kami hanya menemukan kemalasan pengembang, dan go public terutama karena kami tidak ingin iMazing dikaitkan dengan peretasan. Jika kita tidak angkat bicara, berita itu pada akhirnya bisa menyebar dan merusak reputasi kita. Singkatnya, kami senang menjadi perangkat lunak pertama yang mengaktifkan pencadangan/pemulihan aplikasi di iOS 9, tetapi tidak suka melihat fitur keren ini terkait dengan bajak laut.”
Zanon dan Bédat sangat mendesak pengembang untuk meninjau kode mereka untuk menangani pembelian dalam aplikasi.
“Menambal kode yang lemah seharusnya hanya memakan waktu beberapa jam bagi pengembang,” kata Bédat.
