A codificação desleixada em alguns jogos iOS populares permite que os hackers dêem a si mesmos e a outros milhares de dólares em compras no aplicativo gratuitamente.
O buraco foi descoberto por desenvolvedores da DigiDNA, criadora do uma ferramenta de backup chamada iMazing que permite que usuários de iPhone e iPad acessem os sistemas de arquivos ocultos de seus dispositivos. Os desenvolvedores descobriram que o recurso de backup / restauração de aplicativos no iMazing 1.3 expõe fraquezas na forma como jogos como Angry Birds 2 e Tetris grátis lidar com compras no aplicativo.
Para demonstrar como é fácil hackear compras no aplicativo usando este método, a equipe DigiDNA ajustou Angry Birds 2 para começar o jogo com 999.999.999 joias - o equivalente a $ 10.000 em créditos no jogo.
Rovio's Angry Birds 2 é gratuito para download, mas para avançar, os jogadores precisam pagar para jogar usando as chamadas "compras no aplicativo". O jogo foi baixado mais de 20 milhões de vezes na primeira semana.
Essa falha pode privar os desenvolvedores das atualizações no jogo que geram receita após os downloads iniciais. A Apple pagou aos desenvolvedores mais de US $ 10 bilhões em 2014, tornando a chamada economia de aplicativos maior que Hollywood.
As compras no aplicativo são um modelo de negócios preferido dos fabricantes de aplicativos. Muitos aplicativos são gratuitos para baixar, mas exigem compras no aplicativo para desbloquear recursos, avançar para o próximo nível ou remover anúncios. É especialmente popular em jogos. A perda de compras no aplicativo, teoricamente, poderia custar aos desenvolvedores muito dinheiro se eles não protegerem seu código.
“Muitos outros aplicativos são vulneráveis”, disse Jérôme Bédat, co-proprietário da DigiDNA, que descobriu a fraqueza.
Foto: iMazing
O hack vem na parte de trás do Revelações XcodeGhost, que revelou que dezenas de aplicativos foram contaminados com malware, incluindo - infelizmente para a Rovio - a versão chinesa do Angry Birds 2.
A falha foi descoberta por Gregorio Zanon, co-proprietário da DigiDNA, enquanto testava uma nova versão do ferramenta de backup iMazing. Ele descobriu que backups de jogos populares como Angry Birds 2 e Tetris grátis pode ser transferido de um ID Apple para outro, incluindo qualquer compra dentro do aplicativo.
Zanon testou cinco aplicativos que dependem de IAPs (Angry Birds 2, Temple Run 2, Tetris grátis, Candy Crush e Clash of Clans) e postou os resultados no blog da DigiDNA.
Não culpe a Apple por esta vulnerabilidade
DigiDNA disse que a vulnerabilidade não é culpa da Apple. O problema é o que Zanon chamou de “codificação preguiçosa” pelos desenvolvedores de aplicativos. Os criadores dos aplicativos comprometidos simplesmente não seguiram o modelo da Apple recomendação para excluir itens comprados de backups. Em vez disso, os aplicativos afetados armazenam itens comprados na sandbox do aplicativo, que pode ser acessada em um backup.
A fraqueza da compra no aplicativo anteriormente poderia ser explorada editando e restaurando um backup do iOS contendo os dados hackeados. No entanto, restaurações completas como essa demoram muito, provavelmente por isso que muitas pessoas nunca se aproveitaram das falhas. Com novas ferramentas de backup como o iMazing, que eliminam a fricção de um backup completo, os usuários podem exportar suas compras no aplicativo hackeadas facilmente e compartilhá-las.
Tudo o que o usuário deve fazer para obter a compra "gratuita" no aplicativo em seu dispositivo é abrir o iMazing e restaurar o arquivo do aplicativo em seu dispositivo, o que mal leva um minuto. A vulnerabilidade não permite que os hackers manipulem o código do aplicativo em si, mas torna muito fácil obter as compras de outra pessoa em seu dispositivo.
Os aplicativos podem ser vulneráveis de duas maneiras: compras transferíveis e moeda do jogo que pode ser ajustada. O último é o pior cenário, permitindo que a moeda do jogo seja manipulada a níveis incrivelmente altos, editando arquivos não criptografados em um backup. Os usuários podem então criar um backup do aplicativo e compartilhar os patches online (na forma de arquivos .imazingapp).
“Um usuário pode comprar IAPs e divulgar o estado do aplicativo para um número infinito de outros usuários”, disse Zanon. “Um compra, muitos desfrutam.”
Um representante da Apple contatado pela Cult of Mac sobre a vulnerabilidade se recusou a comentar. A Rovio e a Electronic Arts ainda não responderam aos pedidos de comentário.
Zanon e seus colegas testaram apenas alguns aplicativos, mas descobriram que cerca de metade eram vulneráveis. Eles acham que o problema é generalizado e que milhares de aplicativos podem ser potencialmente vulneráveis à falha.
“Nossa posição é perfeitamente clara”, disse Zanon. “Não queremos que nossos usuários hackem IAPs. Simplesmente tropeçamos na preguiça do desenvolvedor e nos tornamos públicos principalmente porque não queremos que o iMazing seja associado a hacks. Se não falarmos, a notícia pode eventualmente se espalhar e prejudicar nossa reputação. Em suma, estamos entusiasmados por ser o primeiro software a permitir backup / restauração de aplicativos no iOS 9, mas odiaríamos ver esse recurso legal associado a piratas. ”
Zanon e Bédat recomendaram enfaticamente aos desenvolvedores que revisassem seu código para lidar com as compras dentro do aplicativo.
“A correção de códigos fracos deve levar apenas algumas horas para os desenvolvedores”, disse Bédat.
