Saurik (Jay Freeman) a été forcé de prendre une décision difficile impliquant le magasin Cydia jeudi après avoir reçu des nouvelles troublantes de développeurs inquiets de la communauté du jailbreak.
Comme il semble, un grave bogue découvert dans la plateforme par Andy Wiik aurait pu permettre des achats arbitraires de packages Cydia Store via les comptes PayPal des utilisateurs s'ils étaient connectés à un compte Cydia avec un compte PayPal lié et parcourant des référentiels tiers potentiellement malveillants dans l'application.
Pour résoudre ce problème le plus rapidement possible, Saurik a désactivé les achats dans la boutique Cydia. Par conséquent, vous ne pouvez plus acheter de packages à partir de référentiels par défaut tels que BigBoss, mais vous pouvez toujours accéder aux modules complémentaires que vous avez achetés précédemment..
Notamment, vous pouvez toujours utiliser et parcourir Cydia et effectuer des achats auprès de référentiels tiers comme Packix, Chariz et Dynastic Repo, qui sont considérés comme «de confiance» et gèrent les paiements via leurs propres méthodes personnalisées - PayPal inclus.
Pour être précis, absolument aucune fuite de données personnelles. Cela signifie que vous ne devriez pas avoir besoin de changer le mot de passe de votre compte PayPal. Maintenant que les achats dans la boutique Cydia ont été officiellement désactivés, les divergences futures ne devraient pas apparaître.
Saurk a publié une réponse officielle à la question le / r / jailbreak jeudi après-midi. Le devis complet se trouve ci-dessous:
Sauf si vous êtes connecté et utilisez Cydia tout en parcourant également un référentiel avec du contenu non approuvé (ce qui, FWIW, est difficile à ne pas faire avec Cydia <- I do appreciate this sad fact about the ecosystem: it was never clear to users that they should be careful installing random repositories), this is “not an issue”. As you would only ever be logged in to Cydia in order to actively buy something or download a paid purchase (Cydia, very much on purpose as a security feature of the software, does not cache login tokens when you close the app) and effectively no one is buying anything anymore (for multiple, even numerous!, reasons), this issue affects very few users despite being worded in a very vague way to, I would assume purposefully, cause maximal chaos and carnage, leading to questions that go so far as “how do I do this without being jailbroken”. Si vous n'êtes pas jailbreaké, vous ne devriez certainement pas vous en préoccuper.
En particulier, cette vulnérabilité est ne pas une fuite de données (comme certaines personnes se le demandent, et étant donné la vague plainte de Nullpixel est une chose parfaitement valable à penser: on pourrait supposer que j'ai en quelque sorte perdu l'accès aux jetons d'autorisation PayPal permettant à quelqu'un d'autre de prendre de l'argent de votre compte PayPal: ce ce n'est pas le problème aujourd'hui), et il n'est certainement pas nécessaire de faire tout son possible pour désactiver les jetons si vous n'utilisez plus Cydia: c'est "seulement" (entre guillemets car c'est toujours un problème sérieux ... s'il s'agissait en fait d'un produit encore utilisé par quiconque; P) la possibilité de forcer un achat par un utilisateur actuellement connecté à Cydia; il n'y a aucune inquiétude concernant les informations de votre compte Cydia que je connais pour le moment.
La réalité est que je voulais juste fermer complètement le magasin Cydia avant la fin de l'année et envisageais de déplacer le calendrier après avoir reçu le rapport (jusqu'à ce week-end); ce service me fait perdre de l'argent et n'est pas quelque chose que j'ai une passion à entretenir: il était un élément essentiel d'un écosystème sain, et pendant un certain temps, il a aidé à financer un petit nombre de personnes pour maintenir l'écosystème, mais il a coûté très cher à ma santé mentale et a conduit beaucoup de gens à me haïr irrationnellement en raison de ce qui équivalait à une incompréhension délibérée de la façon dont le profit par rapport au revenu fonctionne. (Cela dit, la fermeture de ce système n'atténue pas réellement la majorité de mes coûts pour le moment, ce qui implique de nombreux téraoctets de bande passante par mois continuant à être dépensés pour l'hébergement des référentiels archivés que j'ai pris sous ma responsabilité; je fais heureusement actuellement assez l'argent de mon nouvel emploi pour couvrir ces coûts.)
Cependant, étant donné la poussée de Nullpixel et d'Andy Wiik pour faire quelque chose ce matin, j'ai dû reconsidérer mes délais; J'ai donc continué et mis fin à la possibilité d'acheter des choses à Cydia, avec effet immédiat. Je vais rédiger un article plus formel sur l'arc de Cydia, qui devrait être publié la semaine prochaine.
Saurik confirme qu'il maintiendra les achats précédents dans un autre commentaire, cité ci-dessous:
J'ai l'intention de conserver la possibilité de télécharger les packages existants: la charge de comptabilité et d'exécution du backend est beaucoup plus faible que de continuer à autoriser les achats et de supprimer le code de paiement signifie que je n'ai pas à m'inquiéter d'avoir gâché autre chose dans le paiement backend, en termes de sécurité.
Dans le cas où tout cela semble déroutant, nous voulons réitérer que vous pouvez toujours utiliser Cydia et les référentiels tiers, mais nous voulons prendre ce temps pour rappeler à tout le monde l'importance d'utiliser uniquement des référentiels tiers de bonne réputation.
L'ajout et l'utilisation de référentiels tiers louches garantissent un risque plus élevé de voir vos informations de paiement compromises. Si vous ne pouvez pas dire si un référentiel tiers est réputé ou non, vous pouvez utiliser cette liste complète de référentiels tiers comme guide. Considérez ceux qui figurent sur notre liste comme «fiables» et «réputés».
Bien que cela ne soit pas lié, nous devons ajouter que le gestionnaire de packages Sileo est toujours en développement et vise à remplacer Cydia en tant que principal programme d'installation et gestionnaire de référentiels de la communauté jailbreak. Il n'y a pas encore d'ETA pour sa sortie, mais vous devriez pouvoir accéder aux mêmes référentiels et packages que vous pourriez le faire dans Cydia.
Êtes-vous heureux que Saurik ait répondu rapidement au problème? Partagez vos pensées dans la section des commentaires ci-dessous.