Saurik (Jay Freeman) se vio obligado a tomar una decisión difícil sobre la tienda Cydia el jueves después de recibir noticias preocupantes de desarrolladores preocupados en la comunidad de jailbreak.
Como parece, un error grave descubierto en la plataforma por Andy Wiik podría haber permitido la compra arbitraria de paquetes de Cydia Store a través de las cuentas de PayPal de los usuarios si hubieran iniciado sesión en una cuenta de Cydia con una cuenta de PayPal vinculada y explorando repositorios de terceros potencialmente maliciosos en la aplicación.
Para resolver este problema lo más rápido posible, Saurik deshabilitó las compras en la Tienda Cydia. En consecuencia, ya no puede comprar paquetes de repositorios predeterminados como BigBoss, pero aún puede acceder a los complementos que compró anteriormente.
Notablemente, todavía puedes usar y navegar por Cydia y realizar compras en repositorios de terceros como Packix, Chariz y Dynastic Repo, que se consideran "confiables" y manejan los pagos a través de sus propios métodos personalizados, incluido PayPal.
Para ser preciso, no se filtró absolutamente ningún dato personal. Esto significa que no debería necesitar cambiar la contraseña de su cuenta PayPal. Ahora que las compras de Cydia Store se han deshabilitado oficialmente, las futuras discrepancias no deberían suceder..
Saurk emitió una respuesta oficial al asunto el / r / jailbreak el jueves por la tarde. La cita completa se puede encontrar a continuación:
A menos que haya iniciado sesión y use Cydia mientras navega por un repositorio con contenido no confiable (que, FWIW, es difícil de no hacer con Cydia <- I do appreciate this sad fact about the ecosystem: it was never clear to users that they should be careful installing random repositories), this is “not an issue”. As you would only ever be logged in to Cydia in order to actively buy something or download a paid purchase (Cydia, very much on purpose as a security feature of the software, does not cache login tokens when you close the app) and effectively no one is buying anything anymore (for multiple, even numerous!, reasons), this issue affects very few users despite being worded in a very vague way to, I would assume purposefully, cause maximal chaos and carnage, leading to questions that go so far as “how do I do this without being jailbroken”. Si no tienes jailbreak, definitivamente no deberías preocuparte por esto.
En particular, esta vulnerabilidad es no una fuga de datos (como algunas personas se preguntan, y dada la vaga queja de Nullpixel es algo perfectamente válido para pensar: uno presumiría que de alguna manera perdí el acceso a los tokens de autorización de PayPal permitiendo que otra persona tome dinero de su cuenta de PayPal: esto categóricamente no es el problema actual), y definitivamente no hay necesidad de deshabilitar los tokens si ya no está utilizando Cydia: es "solo" (entre comillas, ya que esto sigue siendo un problema grave ... si esto fuera realmente un producto que todavía usa alguien; P) la capacidad de forzar una compra por parte de un usuario que actualmente está conectado a Cydia; no hay preocupación sobre la información en su cuenta de Cydia que conozco en este momento.
La realidad es que quería cerrar la tienda Cydia por completo antes de fin de año, y estaba considerando cambiar el horario después de recibir el informe (hasta este fin de semana); Este servicio me hace perder dinero y no es algo que me apasione mantener: fue un componente crítico de un ecosistema saludable, y durante un tiempo ayudó a financiar un pequeño equipo de personas para mantener el ecosistema, pero tuvo un gran costo para mi cordura y llevó a muchas personas a odiarme irracionalmente debido a lo que equivalía a un malentendido intencionado de cómo funcionan las ganancias y los ingresos. (Dicho esto, cerrar esto en realidad no mitiga la mayoría de mis costos en este momento, lo que involucra muchos terabytes de ancho de banda por mes que continúan gastando en alojar los repositorios archivados que asumí como mi responsabilidad; afortunadamente, actualmente estoy haciendo lo suficiente dinero de mi nuevo trabajo para cubrir estos costos).
Sin embargo, dado el impulso de Nullpixel y Andy Wiik para hacer algo al respecto esta mañana, he tenido que reconsiderar mis líneas de tiempo; De este modo, seguí adelante y cerré la capacidad de comprar cosas en Cydia, con efecto inmediato. Haré una publicación más formal sobre el arco de Cydia, que probablemente se publicará la próxima semana..
Saurik confirma que mantendrá las compras anteriores en otro comentario, citado a continuación:
Tengo la intención de mantener la capacidad de descargar paquetes existentes: la carga de la contabilidad y la ejecución del back-end de esto es mucho más baja que continuar permitiendo compras y eliminar el código de pago, lo que significa que no tengo que preocuparme de haber estropeado cualquier otra cosa en el pago backend, en cuanto a seguridad.
En caso de que todo esto parezca confuso, queremos reiterar que todavía puede usar Cydia y repositorios de terceros, pero queremos aprovechar este momento para recordar a todos la importancia de utilizar solo repositorios de terceros acreditados.
Agregar y usar repositorios turbios de terceros garantiza un mayor riesgo de comprometer su información de pago. Si no puede saber si un repositorio de terceros tiene buena reputación o no, entonces puede usar esta lista completa de repositorios de terceros como su guía. Considere a aquellos en nuestra lista como 'confiables' y 'de buena reputación'.
Aunque no esté relacionado, debemos agregar que el administrador de paquetes de Sileo todavía está en desarrollo y tiene como objetivo reemplazar a Cydia como el instalador de paquetes y administrador de repositorios de la comunidad de jailbreak. Todavía no hay ETA para su lanzamiento, pero debería poder acceder a los mismos repositorios y paquetes que podría en Cydia.
¿Estás contento de que Saurik haya respondido al problema con prontitud? Comparte tus pensamientos en la sección de comentarios a continuación.