Saurik (Jay Freeman) è stato costretto a prendere una decisione difficile coinvolgendo il Cydia Store giovedì dopo aver ricevuto notizie preoccupanti dagli sviluppatori interessati nella comunità del jailbreak.
A quanto pare, un grave bug scoperto nella piattaforma da Andy Wiik avrebbe potuto consentire acquisti arbitrari di pacchetti Cydia Store tramite gli account PayPal degli utenti se fossero stati registrati in un account Cydia con un account PayPal collegato e navigando in repository di terze parti potenzialmente dannosi in l'applicazione.
Per risolvere il problema il più rapidamente possibile, Saurik ha disabilitato gli acquisti nel Cydia Store. Di conseguenza, non è più possibile acquistare pacchetti da repository predefiniti come BigBoss, ma è comunque possibile accedere ai componenti aggiuntivi acquistati in precedenza.
In particolare, puoi ancora usare e sfogliare Cydia e effettuare acquisti da repository di terze parti come Packix, Chariz e Dynastic Repo, che sono considerati "affidabili" e gestiscono i pagamenti attraverso i propri metodi personalizzati - PayPal incluso.
Per essere precisi, assolutamente nessun dato personale è stato trapelato. Ciò significa che non dovresti aver bisogno di cambiare la password del tuo conto PayPal. Ora che gli acquisti del Cydia Store sono stati ufficialmente disabilitati, le discrepanze future non dovrebbero trasparire.
Saurk ha rilasciato una risposta ufficiale alla questione giovedì / pomeriggio / jailbreak. Il preventivo completo è disponibile di seguito:
A meno che tu non abbia effettuato l'accesso e utilizzi Cydia mentre navighi anche in un repository con contenuti non attendibili (che, FWIW, è difficile non avere a che fare con Cydia <- I do appreciate this sad fact about the ecosystem: it was never clear to users that they should be careful installing random repositories), this is “not an issue”. As you would only ever be logged in to Cydia in order to actively buy something or download a paid purchase (Cydia, very much on purpose as a security feature of the software, does not cache login tokens when you close the app) and effectively no one is buying anything anymore (for multiple, even numerous!, reasons), this issue affects very few users despite being worded in a very vague way to, I would assume purposefully, cause maximal chaos and carnage, leading to questions that go so far as “how do I do this without being jailbroken”. Se non sei in jailbreak, non dovresti assolutamente preoccuparti di questo.
In particolare, questa vulnerabilità è non una perdita di dati (come alcuni si chiedono e dato il vago reclamo di Nullpixel è una cosa perfettamente valida da pensare: si potrebbe presumere che in qualche modo ho perso l'accesso ai token di autorizzazione di PayPal che consentono a qualcun altro di prelevare denaro dal tuo conto PayPal: questo categoricamente non è il problema attuale oggi), e sicuramente non è necessario fare di tutto per disabilitare i token se in realtà non si utilizza più Cydia: è "solo" (tra virgolette poiché questo è ancora un problema serio ... se questo fosse effettivamente un prodotto ancora utilizzato da chiunque; P) la possibilità di forzare un acquisto da parte di un utente attualmente connesso a Cydia; non ci sono dubbi sulle informazioni nel tuo account Cydia di cui sono a conoscenza al momento.
La realtà è che volevo chiudere completamente il Cydia Store prima della fine dell'anno, e stavo pensando di spostare l'orario dopo aver ricevuto il rapporto (a questo fine settimana); questo servizio mi fa perdere denaro e non è qualcosa che ho qualche passione da mantenere: era una componente fondamentale di un ecosistema sano e per un po 'ha aiutato a finanziare un piccolo staff di persone per mantenere l'ecosistema, ma è costato molto a la mia sanità mentale e ha portato molte persone a odiarmi irrazionalmente a causa di ciò che equivaleva a un malinteso intenzionale su come funzionano i profitti rispetto alle entrate. (Detto questo, chiudere questo non in realtà mitiga la maggior parte dei miei costi in questo momento, che coinvolgono molti terabyte di larghezza di banda al mese che continuano a essere spesi per l'hosting dei repository archiviati che ho assunto come mia responsabilità; per fortuna sto attualmente facendo abbastanza soldi dal mio nuovo lavoro per coprire questi costi.)
Tuttavia, data la spinta di Nullpixel e Andy Wiik a fare qualcosa al riguardo stamattina, ho dovuto riconsiderare i miei tempi; Sono quindi andato avanti e ho chiuso la possibilità di acquistare cose a Cydia, con effetto immediato. Metterò insieme un post più formale sull'arco di Cydia, che sarà probabilmente pubblicato la prossima settimana.
Saurik conferma che manterrà gli acquisti precedenti in un altro commento, citato di seguito:
Ho intenzione di mantenere la possibilità di scaricare i pacchetti esistenti: l'onere della contabilità e dell'esecuzione del backend di questo è molto inferiore rispetto al continuare a consentire gli acquisti e la rimozione del codice di pagamento significa che non devo preoccuparmi di aver incasinato nient'altro nel pagamento backend, dal punto di vista della sicurezza.
Nel caso in cui tutto ciò sembri confuso, vogliamo ribadirlo puoi ancora usare Cydia e repository di terze parti, ma vogliamo dedicare del tempo a ricordare a tutti l'importanza di utilizzare solo repository di terze parti affidabili.
L'aggiunta e l'uso di archivi di terze parti ombreggiati garantisce un rischio maggiore di compromissione delle informazioni di pagamento. Se non riesci a stabilire se un repository di terze parti è rispettabile o meno, puoi utilizzare questo elenco completo di repository di terze parti come guida. Considera quelli nel nostro elenco come "affidabili" e "affidabili".
Anche se non correlato, dovremmo aggiungere che il gestore di pacchetti Sileo è ancora in fase di sviluppo e mira a sostituire Cydia come principale programma di installazione e repository di pacchetti della comunità di jailbreak. Non c'è ancora ETA per la sua versione, ma dovresti essere in grado di accedere agli stessi repository e pacchetti che potresti in Cydia.
Sei felice che Saurik abbia risposto prontamente al problema? Condividi i tuoi pensieri nella sezione commenti qui sotto.