Thuat Nguyen a jeho aplikáce na kradnutie peňazí
Apple sa oficiálne vyjadrilo k prípadu, kedy jeden vývojár prepašoval trójskeho koňa vo svojej aplikácii a ten mu umožnil doplnkové nákupy kníh z účtov nič netušiacich majiteľov jeho aplikácie.
Objavilo sa to vlastne hlúpym nenažraným nastavením aplikácie, kedy sa určené knižky dostali nakoniec do top rebríčkov predajnosti, čo bol prvý podozrivý fakt.
Špekuluje sa (a ja viem prečo – špekulujú redaktori médii), že došlo k hacknutiu účtov a podobné veci. Sú možné ale zároveň to asi nie je najtriviálnejšie. Nesledujem tento prípad ale nasledujúci scenár je pravdepodobnejší:
Postihnutí si kúpili app podvodníka. Vieme, že Apple ponúkol v API možnosť z app robiť doplnkové nákupy. Takže vývojarovi sa nejako podarilo zakamuflovať dialóg určený pre nákupy a používateľ v dobrej viere odťukával niečo iné ako mu tvrdilo rozhranie aplikácie.
Takto nebolo vôbec treba poznať akékoľvek heslá.
Je samozrejme možné, aby app zobrazila „sfalšovaný“ formulár, kam zasa používateľ naťuká svoj účet a heslo. Stačí mu to proste v aplikácii „vhodne“ podsunúť a pôjde ako koza za šalátom.
Nemuselo teda vôbec ísť o kompromitáciu účtov. Podľa mňa tento prípad je dôsledkom dlhotrvajúceho tlaku médii, používateľov a autorov aplikácii na zrýchlenie schvaľovcieho procesu App Store. Musíme si vybrať čo chceme a čo nechceme. A aby si to neprotirečilo.
Pripomienka tu je, že ak API vývojárovi umožní kamuflovať nákupné funkcie v app, tak je nutné API upraviť, aby „natvrdo“ vsúvalo do dialógu jasné a zrozumiteľné upozornenie, že ide nakupovať, čo a za koľko.
Panika, ktorá v tejto súvislosti vznikla, je na škodu veci, pretože ju miesia aj média, ktoré by mali k téme prizvať zrozumiteľne vyjadrujúcich sa „sekuriťákov“ a hlavne zachovať chladnú hlavu. Ak sa už vec stala, tak je panika zbytočná a prichádza neskoro.
Sám som teraz načrtol možné body, kde by mohol byť Apple na strane vinníkov ale aj body, kde zazlievam médiam ako rýchlo dokážu naskočiť do panicmode a zabudnú na ľahšie spôsoby ako okradnúť ľudí, radšej však riešia „hackovanie“ účtov, kradnutie hesiel, čo je často veľmi ťažká vec, ked oblbnúť ľudí je ďaleko ľahšie.