Saurik (Jay Freeman) war am Donnerstag gezwungen, eine schwere Entscheidung bezüglich des Cydia Store zu treffen, nachdem er von besorgten Entwicklern in der Jailbreak-Community beunruhigende Nachrichten erhalten hatte.
Wie es scheint, hätte ein schwerwiegender Fehler, der von Andy Wiik auf der Plattform entdeckt wurde, willkürliche Käufe von Cydia Store-Paketen über die PayPal-Konten der Benutzer ermöglichen können, wenn diese bei einem Cydia-Konto mit einem verknüpften PayPal-Konto angemeldet gewesen wären und potenziell böswillige Repositorys von Drittanbietern in durchsucht hätten die App.
Um dieses Problem so schnell wie möglich zu beheben, hat Saurik Käufe im Cydia Store deaktiviert. Infolgedessen können Sie keine Pakete mehr in Standard-Repositorys wie BigBoss kaufen. Sie können jedoch weiterhin auf die zuvor gekauften Add-Ons zugreifen.
Vor allem, Sie können Cydia weiterhin verwenden und durchsuchen und Einkäufe in Repositories von Drittanbietern tätigen wie Packix, Chariz und Dynastic Repo, die als "vertrauenswürdig" gelten und Zahlungen über ihre eigenen benutzerdefinierten Methoden abwickeln - einschließlich PayPal.
Um genau zu sein, Es wurden absolut keine personenbezogenen Daten übermittelt. Das bedeutet, dass Sie Ihr PayPal-Passwort nicht ändern müssen. Nach der offiziellen Deaktivierung der Käufe im Cydia Store sollten künftige Unstimmigkeiten nicht mehr auftreten.
Saurk gab am Donnerstagnachmittag eine offizielle Antwort auf die Angelegenheit. Das vollständige Angebot finden Sie unten:
Es sei denn, Sie sind angemeldet und verwenden Cydia, während Sie gleichzeitig ein Repository mit nicht vertrauenswürdigem Inhalt durchsuchen (was FWIW nur schwer mit Cydia zu tun hat) <- I do appreciate this sad fact about the ecosystem: it was never clear to users that they should be careful installing random repositories), this is “not an issue”. As you would only ever be logged in to Cydia in order to actively buy something or download a paid purchase (Cydia, very much on purpose as a security feature of the software, does not cache login tokens when you close the app) and effectively no one is buying anything anymore (for multiple, even numerous!, reasons), this issue affects very few users despite being worded in a very vague way to, I would assume purposefully, cause maximal chaos and carnage, leading to questions that go so far as “how do I do this without being jailbroken”. Wenn Sie nicht im Gefängnis sind, sollten Sie sich darüber keine Sorgen machen.
Insbesondere ist diese Sicherheitsanfälligkeit nicht Ein Datenleck (wie sich einige Leute wundern und angesichts der vagen Beschwerde von Nullpixel ist es durchaus berechtigt zu denken: Man würde annehmen, dass ich irgendwie den Zugang zu PayPal-Autorisierungstoken verloren habe, mit denen jemand anderes Geld von Ihrem PayPal-Konto abheben kann: dies kategorisch ist es heute nicht mehr zur Debatte), und es ist definitiv nicht notwendig, sich Mühe zu geben, um Token zu deaktivieren, wenn Sie Cydia nicht mehr verwenden: Es ist „nur“ (in Anführungszeichen, da dies immer noch ein ernstes Problem ist). wenn dies tatsächlich ein Produkt ist, das noch von jemandem verwendet wird; P) die Möglichkeit, einen Kauf durch einen Benutzer zu erzwingen, der derzeit bei Cydia angemeldet ist; Es besteht keine Besorgnis über die Informationen in Ihrem Cydia-Konto, die mir derzeit bekannt sind.
Die Realität ist, dass ich den Cydia Store vor Jahresende komplett schließen wollte und überlegte, den Zeitplan nach Erhalt des Berichts (auf dieses Wochenende) zu verschieben. Dieser Service verliert Geld und ist für mich keine Leidenschaft: Er war eine wichtige Komponente eines gesunden Ökosystems und half eine Weile, ein kleines Team von Mitarbeitern für die Wartung des Ökosystems zu finanzieren, war jedoch mit hohen Kosten verbunden Mein Verstand führte dazu, dass viele Leute mich irrational hassten, weil es sich um ein absichtliches Missverständnis handelte, wie Profit gegen Umsatz funktioniert. (Das heißt, durch das Herunterfahren wird der Großteil meiner Kosten im Moment nicht gemindert, da monatlich viele Terabyte an Bandbreite für das Hosting der archivierten Repositorys aufgewendet werden, die ich als meine Verantwortung übernommen habe. Ich bin dankbar, dass ich derzeit genug verdiene Geld von meinem neuen Job, um diese Kosten zu decken.)
Angesichts des Vorstoßes von Nullpixel und Andy Wiik, heute Morgen etwas dagegen zu unternehmen, musste ich meine Zeitpläne überdenken. Damit habe ich die Möglichkeit, Dinge in Cydia zu kaufen, mit sofortiger Wirkung eingestellt. Ich werde einen formelleren Beitrag über den Bogen von Cydia zusammenstellen, der voraussichtlich nächste Woche veröffentlicht wird.
Saurik bestätigt, dass er frühere Einkäufe in einem anderen, unten zitierten Kommentar beibehalten wird:
Ich beabsichtige, die Möglichkeit zum Herunterladen vorhandener Pakete beizubehalten: Die Belastung durch Buchhaltung und Backend-Ausführung ist viel geringer, als weiterhin Einkäufe zuzulassen und den Zahlungscode zu entfernen. Das heißt, ich muss mir keine Sorgen machen, dass ich etwas anderes in der Zahlung vermasselt habe Backend, sicherheitstechnisch.
Falls dies alles verwirrend klingt, möchten wir das wiederholen Sie können weiterhin Cydia-Repositorys und Repositorys von Drittanbietern verwenden, Wir möchten uns jedoch die Zeit nehmen, um alle daran zu erinnern, wie wichtig es ist, nur seriöse Repositorys von Drittanbietern zu verwenden.
Das Hinzufügen und Verwenden von schattigen Repositorys von Drittanbietern erhöht das Risiko, dass Ihre Zahlungsinformationen kompromittiert werden. Wenn Sie nicht wissen, ob ein Drittanbieter-Repository seriös ist oder nicht, können Sie diese umfassende Liste von Drittanbieter-Repositorys als Leitfaden verwenden. Betrachten Sie die in unserer Liste aufgeführten Personen als "vertrauenswürdig" und "seriös".
Wir sollten hinzufügen, dass sich der Sileo-Paketmanager noch in der Entwicklung befindet und Cydia als primären Paketinstallations- und Repository-Manager der Jailbreak-Community ersetzen soll. Es gibt noch keine ETA für die Veröffentlichung, aber Sie sollten in der Lage sein, auf dieselben Repositorys und Pakete wie in Cydia zuzugreifen.
Bist du froh, dass Saurik umgehend auf das Problem reagiert hat? Teilen Sie Ihre Gedanken in den Kommentaren unten.