Saurik (Jay Freeman) werd gedwongen om een moeilijke beslissing te nemen met betrekking tot de Cydia Store op donderdag na verontrustend nieuws van betrokken ontwikkelaars in de jailbreak-gemeenschap.
Het lijkt erop dat een ernstige bug die Andy Wiik in het platform heeft ontdekt, willekeurige Cydia Store-pakketaankopen via de PayPal-accounts van gebruikers mogelijk had kunnen maken als ze waren ingelogd op een Cydia-account met een gekoppeld PayPal-account en mogelijk kwaadaardige repositories van derden doorbladeren de app.
Om dit probleem zo snel mogelijk op te lossen, heeft Saurik aankopen in de Cydia Store uitgeschakeld. Bijgevolg kunt u niet langer pakketten kopen van standaardrepository's zoals BigBoss, maar hebt u nog steeds toegang tot de eerder gekochte add-ons.
in het bijzonder, je kunt Cydia nog steeds gebruiken en bladeren en aankopen doen bij repositories van derden zoals Packix, Chariz en Dynastic Repo, die als 'vertrouwd' worden beschouwd en betalingen via hun eigen aangepaste methoden verwerken - inclusief PayPal.
Precies zijn, er zijn absoluut geen persoonlijke gegevens gelekt. Dit betekent dat u het wachtwoord van uw PayPal-account niet hoeft te wijzigen. Nu dat aankopen bij de Cydia-winkel officieel zijn uitgeschakeld, zouden toekomstige discrepanties niet moeten blijken.
Saurk gaf donderdagmiddag een officieel antwoord op de zaak op / r / jailbreak. Het volledige citaat vindt u hieronder:
Tenzij u bent aangemeld en Cydia gebruikt terwijl u ook door een repository met niet-vertrouwde inhoud bladert (wat, FWIW, moeilijk is om niet te doen met Cydia <- I do appreciate this sad fact about the ecosystem: it was never clear to users that they should be careful installing random repositories), this is “not an issue”. As you would only ever be logged in to Cydia in order to actively buy something or download a paid purchase (Cydia, very much on purpose as a security feature of the software, does not cache login tokens when you close the app) and effectively no one is buying anything anymore (for multiple, even numerous!, reasons), this issue affects very few users despite being worded in a very vague way to, I would assume purposefully, cause maximal chaos and carnage, leading to questions that go so far as “how do I do this without being jailbroken”. Als je niet gejailbreakt bent, zou je je hier zeker geen zorgen over moeten maken.
In het bijzonder is deze kwetsbaarheid niet een datalek (zoals sommige mensen zich afvragen, en gezien de vage klacht van Nullpixel is een volkomen terechte gedachte: men zou veronderstellen dat ik op een of andere manier geen toegang meer had tot PayPal-autorisatietokens waardoor iemand anders geld van uw PayPal-rekening kon nemen: dit categorisch is dit niet het probleem dat vandaag aan de orde is), en het is absoluut niet nodig om je uiterste best te doen om tokens uit te schakelen als je Cydia niet meer gebruikt: het is "alleen" (tussen aanhalingstekens omdat dit nog steeds een ernstig probleem is ... als dit eigenlijk een product is dat nog door iemand wordt gebruikt; P) de mogelijkheid om een aankoop te forceren door een gebruiker die momenteel is ingelogd bij Cydia; ik maak me op dit moment geen zorgen over de informatie in uw Cydia-account.
De realiteit is dat ik de Cydia-winkel gewoon helemaal voor het einde van het jaar wilde sluiten en overweeg om de planning te verhogen na ontvangst van het rapport (tot dit weekend); deze service verliest me geld en is niet iets waar ik een passie voor heb om te onderhouden: het was een cruciaal onderdeel van een gezond ecosysteem, en een tijdlang hielp het een kleine staf mensen te financieren om het ecosysteem te onderhouden, maar het kostte veel geld om mijn verstand en leidde ertoe dat veel mensen me irrationeel haatten vanwege wat een doelbewust misverstand betekende over hoe winst versus omzet werkt. (Dat gezegd hebbende, het afsluiten van dit betekent op dit moment niet het grootste deel van mijn kosten, die vele terabytes aan bandbreedte per maand met zich meebrengen die worden besteed aan het hosten van de gearchiveerde repositories die ik als mijn verantwoordelijkheid op mij nam; ik maak gelukkig momenteel genoeg geld van mijn nieuwe baan om deze kosten te dekken.)
Maar gezien de druk van Nullpixel en Andy Wiik om er vanmorgen iets aan te doen, moest ik mijn tijdlijnen heroverwegen; Ik ben daarmee doorgegaan en heb de mogelijkheid om dingen te kopen in Cydia onmiddellijk te sluiten. Ik zal een meer formeel bericht samenstellen over de boog van Cydia, dat waarschijnlijk volgende week zal worden gepubliceerd.
Saurik bevestigt dat hij eerdere aankopen zal behouden in een andere opmerking, hieronder geciteerd:
Ik ben van plan om de mogelijkheid te behouden om bestaande pakketten te downloaden: de boekhoudkundige en backend-uitvoeringslast hiervan is veel lager dan het blijven toestaan van aankopen en het verwijderen van de betaalcode betekent dat ik me geen zorgen hoef te maken dat ik iets anders heb verprutst bij de betaling backend, qua beveiliging.
In het geval dat dit allemaal verwarrend klinkt, willen we dat herhalen u kunt nog steeds Cydia en repositories van derden gebruiken, maar we willen deze tijd nemen om iedereen eraan te herinneren hoe belangrijk het is om alleen betrouwbare repositories van derden te gebruiken.
Het toevoegen en gebruiken van schaduwrijke opslagplaatsen van derden garandeert een hoger risico dat uw betalingsinformatie wordt gecompromitteerd. Als u niet weet of een repository van een derde bekend is of niet, kunt u deze uitgebreide lijst met repository's van derden als uw gids gebruiken. Beschouw die in onze lijst als 'vertrouwd' en 'gerenommeerd'.
Hoewel niet gerelateerd, moeten we toevoegen dat de Sileo-pakketbeheerder nog steeds in ontwikkeling is en ernaar streeft om Cydia te vervangen als de primaire pakketinstallateur en repositorybeheerder van de jailbreakcommunity. Er is nog geen ETA voor de release, maar je zou toegang moeten hebben tot dezelfde repositories en pakketten die je zou kunnen in Cydia.
Ben je blij dat Saurik snel op het probleem reageerde? Deel uw mening in het commentaar hieronder.