Saurik (Jay Freeman) tvingades fatta ett tufft beslut som involverade Cydia Store på torsdagen efter att ha fått oroande nyheter från bekymrade utvecklare i jailbreak-samhället.
Som det verkar skulle ett allvarligt fel som upptäcktes i plattformen av Andy Wiik ha kunnat aktivera godtyckliga Cydia Store-paketköp via användares PayPal-konton om de loggades in på ett Cydia-konto med ett länkat PayPal-konto och bläddrade i potentiellt skadliga tredjepartsförvar i appen.
För att lösa problemet så snabbt som möjligt inaktiverade Saurik köp i Cydia Store. Följaktligen kan du inte längre köpa paket från standardförvar som BigBoss, men du kan fortfarande få tillgång till de tillägg du köpte tidigare.
I synnerhet, Du kan fortfarande använda och bläddra i Cydia och göra inköp från tredjepartsförvar som Packix, Chariz och Dynastic Repo, som betraktas som "betrodda" och hanterar betalningar med sina egna anpassade metoder - PayPal inkluderar.
Att vara precis, absolut inga personuppgifter läckte ut. Det betyder att du inte behöver behöva ändra ditt lösenord för PayPal-kontot. Nu när Cydia Store-köp officiellt har inaktiverats, bör framtida avvikelser inte uppstå.
Saurk utfärdade ett officiellt svar på saken på / r / jailbreak torsdag eftermiddag. Den fullständiga offerten finns nedan:
Om du inte är inloggad och använder Cydia medan du också bläddrar i ett arkiv med otillförlitligt innehåll (vilket, FWIW, är svårt att inte göra med Cydia <- I do appreciate this sad fact about the ecosystem: it was never clear to users that they should be careful installing random repositories), this is “not an issue”. As you would only ever be logged in to Cydia in order to actively buy something or download a paid purchase (Cydia, very much on purpose as a security feature of the software, does not cache login tokens when you close the app) and effectively no one is buying anything anymore (for multiple, even numerous!, reasons), this issue affects very few users despite being worded in a very vague way to, I would assume purposefully, cause maximal chaos and carnage, leading to questions that go so far as “how do I do this without being jailbroken”. Om du inte är fängslad bör du definitivt inte oroa dig för detta.
Särskilt är denna sårbarhet inte en dataläckage (som vissa människor undrar, och med tanke på att det vaga klagomålet från Nullpixel är en helt giltig sak att tänka på: man skulle förmodas att jag på något sätt förlorat tillgången till PayPal-godkännandemärken som låter någon annan ta pengar från ditt PayPal-konto: detta kategoriskt är det inte frågan idag), och det finns definitivt inget behov av att gå ur din väg för att inaktivera symboler om du inte använder Cydia längre: det är "bara" (i citat eftersom detta fortfarande är en allvarlig fråga ... om detta faktiskt var en produkt som fortfarande används av någon; P) möjligheten att tvinga ett köp av en användare som för närvarande är inloggad på Cydia; det finns ingen oro för informationen på ditt Cydia-konto som jag känner till just nu.
Verkligheten är att jag bara ville stänga av Cydia Store helt före årets slut och övervägde att flytta tidtabellen efter att ha fått rapporten (till helgen); den här tjänsten förlorar mig pengar och är inte något jag har någon passion att upprätthålla: det var en kritisk komponent i ett hälsosamt ekosystem, och för en stund hjälpte det att finansiera en liten personal med att upprätthålla ekosystemet, men det kom till mycket kostnad för min förnuft och ledde till att många människor irrationellt hatar mig på grund av vad som utgjorde en målmedveten missuppfattning av hur vinst kontra intäkter fungerar. (Som sagt, avstängning av detta minskar inte faktiskt de flesta av mina kostnader just nu, vilket innebär att många terabyte bandbredd per månad fortsätter att spenderas på att vara värd för de arkiverade förvar som jag tog på som mitt ansvar; jag är tacksam för närvarande att göra tillräckligt med pengar från mitt nya jobb för att täcka dessa kostnader.)
Men med tanke på Nullpixel och Andy Wiik att göra något åt det här i morgon, har jag varit tvungen att ompröva min tidslinjer; Jag har därmed gått vidare och stängt av möjligheten att köpa saker i Cydia, omedelbart. Jag kommer att sätta ihop ett mer formellt inlägg om Cydia-bågen, som troligen kommer att publiceras nästa vecka.
Saurik bekräftar att han kommer att behålla tidigare köp i en annan kommentar, citerad nedan:
Jag tänker behålla förmågan att ladda ner befintliga paket: redovisnings- och backend-genomförandebörden för detta är mycket lägre än att fortsätta tillåta köp och ta bort betalningskoden betyder att jag inte behöver oroa mig för att jag har trasslat med något annat i betalningen backend, säkerhetsmässigt.
Om allt detta låter förvirrande, vill vi upprepa det Du kan fortfarande använda Cydia och tredjepartsförråd, men vi vill ta oss den här tiden för att påminna alla om vikten av att endast använda ansedda förvaringsförvar från tredje part.
Att lägga till och använda skuggiga tredjepartsförvar garanterar en högre risk för att din betalningsinformation komprometteras. Om du inte kan se om ett tredjepartsförvar är välrenommerat eller inte, kan du använda den här omfattande listan med tredjepartsförvar som din guide. Anse att de på vår lista är "betrodda" och "ansedda."
Även om det inte är relaterat, bör vi tillägga att Sileo-pakethanteraren fortfarande är under utveckling och syftar till att ersätta Cydia som Jailbreak-communitytens primära paketinstallatör och lagringschef. Det finns inget ETA för utgivningen ännu, men du borde kunna komma åt samma förvar och paket som du kunde i Cydia.
Är du glad att Saurik svarade på problemet snabbt? Dela dina tankar i kommentarerna nedan.