Saurik (Jay Freeman) ble torsdag tvunget til å ta en tøff avgjørelse som involverte Cydia Store etter å ha mottatt urovekkende nyheter fra bekymrede utviklere i jailbreak-samfunnet.
Som det ser ut, kunne en alvorlig feil som ble oppdaget i plattformen av Andy Wiik ha aktivert vilkårlige Cydia Store-pakkekjøp via brukernes PayPal-kontoer hvis de ble logget inn på en Cydia-konto med en koblet PayPal-konto og bla gjennom potensielt skadelige tredjepartslagre i appen.
For å løse dette problemet så raskt som mulig, deaktiverte Saurik kjøp i Cydia Store. Følgelig kan du ikke lenger kjøpe pakker fra standard lagringssteder som BigBoss, men du kan fremdeles få tilgang til tilleggene du kjøpte tidligere.
spesielt, Du kan fremdeles bruke og bla gjennom Cydia og foreta kjøp fra tredjeparts lagre som Packix, Chariz og Dynastic Repo, som anses som "pålitelige" og håndterer betaling via deres egne tilpassede metoder - PayPal inkludert.
For å være presis, absolutt ingen personlige data ble lekket. Dette betyr at du ikke trenger å endre passordet til PayPal-kontoen din. Nå som kjøp av Cydia Store er offisielt deaktivert, bør fremtidige avvik ikke oppstå.
Saurk sendte ut et offisielt svar på saken torsdag ettermiddag / r / jailbreak. Hele sitatet finner du nedenfor:
Med mindre du er logget inn og bruker Cydia mens du også surfer i et depot med upålitelig innhold (som, FWIW, er vanskelig å ikke gjøre med Cydia <- I do appreciate this sad fact about the ecosystem: it was never clear to users that they should be careful installing random repositories), this is “not an issue”. As you would only ever be logged in to Cydia in order to actively buy something or download a paid purchase (Cydia, very much on purpose as a security feature of the software, does not cache login tokens when you close the app) and effectively no one is buying anything anymore (for multiple, even numerous!, reasons), this issue affects very few users despite being worded in a very vague way to, I would assume purposefully, cause maximal chaos and carnage, leading to questions that go so far as “how do I do this without being jailbroken”. Hvis du ikke er fengslet, bør du absolutt ikke ha noen bekymring for dette.
Spesielt er dette sikkerhetsproblemet ikke en datalekkasje (som noen lurer på, og gitt den vage klagen fra Nullpixel er en helt gyldig ting å tenke på: man antar at jeg på en eller annen måte mistet tilgangen til PayPal-autorisasjonstokener som tillater noen andre å ta penger fra PayPal-kontoen din: dette kategorisk er ikke problemet for øyeblikket), og det er absolutt ingen grunn til å gå ut av veien for å deaktivere symboler hvis du faktisk ikke bruker Cydia lenger: det er “bare” (i anførselstegn da dette fremdeles er et alvorlig problem ... hvis dette faktisk var et produkt som fremdeles brukes av noen; P) muligheten til å tvinge et kjøp av en bruker som for tiden er logget inn på Cydia; det er ingen bekymring for informasjonen på din Cydia-konto som jeg vet om på dette tidspunktet.
Realiteten er at jeg ville bare legge ned Cydia Store helt før utgangen av året, og vurderte å flytte tidsplanen opp etter å ha mottatt rapporten (til denne helgen); denne tjenesten taper meg penger og er ikke noe jeg har noen lidenskap for å opprettholde: det var en kritisk komponent i et sunt økosystem, og for en stund bidro det til å finansiere en liten stab av mennesker til å opprettholde økosystemet, men det kostet mye min fornuft og førte til at mange mennesker irrasjonelt hatet meg på grunn av det som utgjorde en målrettet misforståelse av hvordan fortjeneste kontra inntekter fungerer. (Når det er sagt, reduserer ikke de fleste kostnadene mine akkurat nå, noe som innebærer at mange terabyte båndbredde per måned fortsetter å bli brukt på å være vert for de arkiverte depotene jeg tok på som mitt ansvar; jeg tjener heldigvis for øyeblikket nok penger fra den nye jobben min for å dekke disse kostnadene.)
Men gitt presset fra Nullpixel og Andy Wiik til å gjøre noe med det i morges, har jeg imidlertid måttet vurdere tidslinjene mine på nytt; Jeg har dermed gått foran og avsluttet muligheten til å kjøpe ting i Cydia, med virkning umiddelbart. Jeg vil sette sammen et mer formelt innlegg om Cydia-buen, sannsynligvis publisert i løpet av neste uke.
Saurik bekrefter at han vil opprettholde tidligere kjøp i en annen kommentar, sitert nedenfor:
Jeg har tenkt å opprettholde muligheten til å laste ned eksisterende pakker: regnskaps- og backend-utførelsesbyrden for dette er mye lavere enn å fortsette å tillate kjøp og fjerne betalingskoden betyr at jeg ikke trenger å bekymre meg for at jeg rotet bort noe annet i betalingen backend, sikkerhetsmessig.
I tilfelle alt dette høres forvirrende ut, ønsker vi å gjenta dette Du kan fremdeles bruke Cydia og tredjeparts depoter, men vi vil ta denne tiden til å minne alle om viktigheten av å kun bruke anerkjente tredjepartslagre.
Å legge til og bruke skyggefulle tredjepartslagre garanterer en høyere risiko for at betalingsinformasjonen din blir kompromittert. Hvis du ikke kan se om et tredjeparts depot er anerkjent eller ikke, kan du bruke denne omfattende listen over tredjepartslagre som din guide. Anse de på listen vår som "pålitelige" og "anerkjente."
Selv om det ikke er relatert, må vi legge til at Sileo-pakkesjefen fortsatt er i utvikling og tar sikte på å erstatte Cydia som jailbreak-samfunnets viktigste pakkeinstallasjons- og depotsjef. Det er ingen ETA for utgivelsen ennå, men du bør kunne få tilgang til de samme depotene og pakker som du kunne i Cydia.
Er du glad for at Saurik svarte på problemet raskt? Del tankene dine i kommentarfeltet nedenfor.