Saurik (Jay Freeman) foi forçado a tomar uma decisão difícil envolvendo a Cydia Store na quinta-feira, depois de receber notícias preocupantes de desenvolvedores preocupados na comunidade de jailbreak.
Como parece, um bug grave descoberto na plataforma por Andy Wiik poderia ter permitido compras arbitrárias de pacotes da Cydia Store por meio de contas PayPal dos usuários, se eles estivessem conectados a uma conta Cydia com uma conta vinculada do PayPal e navegando em repositórios de terceiros potencialmente maliciosos em a aplicação.
Para resolver esse problema o mais rápido possível, a Saurik desabilitou as compras na Cydia Store. Consequentemente, você não pode mais comprar pacotes de repositórios padrão, como o BigBoss, mas ainda pode acessar os complementos que comprou anteriormente.
Notavelmente, você ainda pode usar e navegar no Cydia e fazer compras em repositórios de terceiros como Packix, Chariz e Dynastic Repo, que são considerados "confiáveis" e lidam com pagamentos através de seus próprios métodos personalizados - PayPal incluído.
Para ser mais preciso, absolutamente nenhum dado pessoal vazou. Isso significa que você não precisa alterar a senha da sua conta do PayPal. Agora que as compras da Cydia Store foram oficialmente desativadas, discrepâncias futuras não devem ocorrer.
Saurk emitiu uma resposta oficial ao assunto em / r / jailbreak quinta-feira à tarde. A cotação completa pode ser encontrada abaixo:
A menos que você esteja conectado e usando o Cydia enquanto também navega em um repositório com conteúdo não confiável (o que, FWIW, é difícil não fazer com o Cydia <- I do appreciate this sad fact about the ecosystem: it was never clear to users that they should be careful installing random repositories), this is “not an issue”. As you would only ever be logged in to Cydia in order to actively buy something or download a paid purchase (Cydia, very much on purpose as a security feature of the software, does not cache login tokens when you close the app) and effectively no one is buying anything anymore (for multiple, even numerous!, reasons), this issue affects very few users despite being worded in a very vague way to, I would assume purposefully, cause maximal chaos and carnage, leading to questions that go so far as “how do I do this without being jailbroken”. Se você não é jailbroken, você definitivamente não deve se preocupar com isso.
Em particular, essa vulnerabilidade é não um vazamento de dados (como algumas pessoas estão se perguntando, e dada a vaga reclamação da Nullpixel é algo perfeitamente válido para se pensar: alguém poderia presumir que, de alguma forma, perdi o acesso aos tokens de autorização do PayPal, permitindo que outra pessoa recebesse dinheiro da sua conta do PayPal: isso categoricamente não é o problema em questão hoje), e definitivamente não há necessidade de desabilitar os tokens se você não estiver mais usando o Cydia: é "apenas" (entre aspas, pois esse ainda é um problema sério ... se esse produto ainda está sendo usado por alguém; P) a capacidade de forçar uma compra por um usuário que está atualmente conectado ao Cydia; não há nenhuma preocupação com as informações em sua conta do Cydia que eu conheço no momento.
A realidade é que eu queria encerrar a Cydia Store completamente antes do final do ano e estava pensando em mudar o cronograma depois de receber o relatório (até o final de semana); esse serviço me perde dinheiro e não é algo que tenho paixão em manter: era um componente crítico de um ecossistema saudável e, por um tempo, ajudou a financiar uma pequena equipe de pessoas para manter o ecossistema, mas teve um grande custo para minha sanidade mental e levou muitas pessoas a me odiarem irracionalmente devido ao que equivalia a um mal-intencionado propósito de como o lucro versus a receita funciona. (Dito isso, encerrar isso na verdade não atenua a maioria dos meus custos no momento, que envolve muitos terabytes de largura de banda por mês que continuam sendo gastos em hospedagem dos repositórios arquivados que assumi como minha responsabilidade; felizmente, estou fazendo o suficiente dinheiro do meu novo emprego para cobrir esses custos.)
No entanto, dada a pressão de Nullpixel e Andy Wiik para fazer algo a respeito nesta manhã, tive que reconsiderar meus cronogramas; Assim, fui adiante e desliguei a capacidade de comprar coisas no Cydia, com efeito imediato. Vou montar um post mais formal sobre o arco de Cydia, que provavelmente será publicado na próxima semana.
Saurik confirma que manterá compras anteriores em outro comentário, citado abaixo:
Pretendo manter a capacidade de baixar pacotes existentes: a carga contábil e de execução de back-end é muito menor do que continuar permitindo compras e remover o código de pagamento significa que não preciso me preocupar em atrapalhar mais nada no pagamento back-end, em termos de segurança.
Caso tudo isso pareça confuso, queremos reiterar que você ainda pode usar o Cydia e repositórios de terceiros, mas queremos dedicar esse tempo para lembrar a todos sobre a importância de usar apenas repositórios de terceiros respeitáveis.
Adicionar e usar repositórios obscuros de terceiros garante um risco maior de comprometer suas informações de pagamento. Se você não souber se um repositório de terceiros é respeitável ou não, poderá usar esta lista abrangente de repositórios de terceiros como seu guia. Considere os da nossa lista como 'confiáveis' e 'respeitáveis'.
Embora não relacionado, devemos acrescentar que o gerenciador de pacotes Sileo ainda está em desenvolvimento e visa substituir o Cydia como o principal instalador de pacotes e gerenciador de repositórios da comunidade jailbreak. Ainda não há ETA para seu lançamento, mas você deve poder acessar os mesmos repositórios e pacotes que poderia no Cydia.
Você está feliz que Saurik tenha respondido prontamente ao problema? Compartilhe seus pensamentos na seção de comentários abaixo.