Jump to content

Android – Une faille permet de faire des achats In-App sans être débité


onorer

Recommended Posts

androidhack.jpg&key=179ba7d0eb150ea80cb31a030a628f8b356314cb87a9d3f406f4227f29e700fd

 

Un chercheur en sécurité a réussi à exploiter 2 bugs dans la bibliothèque d'achats in-app de Google sous Android, ce qui lui as permis de se faire carrément passer pour le service de facturation Google et ainsi récupérer n'importe quel type d'achat in-app gratuitement.

Il a respectueusement informé Google qui a corrigé le bug et alerté les développeurs d'applications, mais au bout de quelques jours, il a compris qu'il ne serait pas crédité pour la découverte de ce bug (ni aucune autre forme de reconnaissance de la part du géant américain).

Du coup, il a décidé d'en parler publiquement sur son site

voilas son site

 

http://sufficientlysecure.org/index.php/2013/10/29/google-play-billing-hacked/

 

et de donner toutes les infos pour exploiter la faille. Il a même mis en ligne un bout de code a compilet

 

https://github.com/dschuermann/billing-hack

 

si vous voulez tester. Voici par exemple ce que ça donne pour Temple Run 2 :

 

templerun.jpg&key=3962353783c3fff1dcf73eb0380eab448e6462b5665078ecabeacee4a21e90a6

 

 

C'est donc corrigé du côté de Google mais si vous utilisez la bibliothèque Google Play Billing Library v3 d'avant le 8 octobre 2013 dans votre application, pensez à faire rapidement la mise à jour.

Link to comment
Share on other sites

×
×
  • Create New...