Saurik (Jay Freeman) terpaksa membuat keputusan sulit yang melibatkan Cydia Store pada hari Kamis setelah menerima berita meresahkan dari pengembang terkait di komunitas jailbreak.
Seperti kelihatannya, bug parah yang ditemukan di platform oleh Andy Wiik bisa memungkinkan pembelian paket Cydia Store sewenang-wenang melalui akun PayPal pengguna jika mereka masuk ke akun Cydia dengan akun PayPal tertaut dan menelusuri repositori pihak ketiga yang berpotensi berbahaya di aplikasi.
Untuk mengatasi masalah ini secepat mungkin, Saurik menonaktifkan pembelian di Cydia Store. Akibatnya, Anda tidak lagi dapat membeli paket dari repositori default seperti BigBoss, tetapi Anda masih dapat mengakses add-on yang Anda beli sebelumnya.
Terutama, Anda masih dapat menggunakan dan menelusuri Cydia dan melakukan pembelian dari repositori pihak ketiga seperti Packix, Chariz, dan Dynastic Repo, yang dianggap “tepercaya” dan menangani pembayaran melalui metode khusus mereka sendiri - termasuk PayPal.
Lebih tepatnya, sama sekali tidak ada data pribadi yang bocor. Ini berarti Anda tidak perlu mengubah kata sandi akun PayPal Anda. Sekarang pembelian Cydia Store telah dinonaktifkan secara resmi, perbedaan di masa depan tidak akan terjadi.
Saurk mengeluarkan tanggapan resmi atas masalah ini pada / r / jailbreak Kamis sore. Kutipan lengkap dapat ditemukan di bawah:
Kecuali jika Anda masuk dan menggunakan Cydia sambil menelusuri repositori dengan konten yang tidak tepercaya (yang, FWIW, sulit untuk tidak dilakukan dengan Cydia <- I do appreciate this sad fact about the ecosystem: it was never clear to users that they should be careful installing random repositories), this is “not an issue”. As you would only ever be logged in to Cydia in order to actively buy something or download a paid purchase (Cydia, very much on purpose as a security feature of the software, does not cache login tokens when you close the app) and effectively no one is buying anything anymore (for multiple, even numerous!, reasons), this issue affects very few users despite being worded in a very vague way to, I would assume purposefully, cause maximal chaos and carnage, leading to questions that go so far as “how do I do this without being jailbroken”. Jika Anda tidak di-jailbreak, Anda pasti tidak perlu khawatir tentang hal ini.
Secara khusus, kerentanan ini tidak kebocoran data (karena beberapa orang bertanya-tanya, dan mengingat keluhan samar dari Nullpixel adalah hal yang benar-benar valid untuk dipikirkan: orang akan menganggap bahwa saya entah bagaimana kehilangan akses ke token otorisasi PayPal yang memungkinkan orang lain mengambil uang dari akun PayPal Anda: ini kategoris bukanlah masalah yang dihadapi saat ini), dan pasti tidak perlu keluar dari cara Anda untuk menonaktifkan token jika Anda tidak benar-benar menggunakan Cydia lagi: itu "hanya" (dalam tanda kutip karena ini masih merupakan masalah serius ... jika ini sebenarnya produk yang masih digunakan oleh siapa pun; P) kemampuan untuk memaksa pembelian oleh pengguna yang saat ini masuk ke Cydia; tidak ada kekhawatiran tentang informasi di akun Cydia Anda yang saya ketahui saat ini.
Kenyataannya adalah saya ingin menutup Cydia Store sepenuhnya sebelum akhir tahun, dan sedang mempertimbangkan untuk menaikkan jadwal setelah menerima laporan (hingga akhir pekan ini); layanan ini kehilangan uang saya dan bukan sesuatu yang saya punya semangat untuk mempertahankan: itu adalah komponen penting dari ekosistem yang sehat, dan untuk sementara itu membantu mendanai staf kecil orang untuk menjaga ekosistem, tetapi itu datang dengan biaya besar untuk kewarasan saya dan membuat banyak orang membenci saya secara tidak rasional karena banyaknya kesalahpahaman yang disengaja tentang bagaimana laba vs pendapatan bekerja. (Yang mengatakan, mematikan ini sebenarnya tidak mengurangi sebagian besar biaya saya saat ini, yang melibatkan banyak terabyte bandwidth per bulan terus dihabiskan untuk hosting repositori yang diarsipkan yang saya ambil sebagai tanggung jawab saya; syukurlah saya saat ini cukup membuat uang dari pekerjaan baru saya untuk menutupi biaya-biaya ini.)
Namun, mengingat dorongan dari Nullpixel dan Andy Wiik untuk melakukan sesuatu tentang hal itu pagi ini, saya harus mempertimbangkan kembali jadwal saya; Dengan demikian saya telah pergi ke depan dan menutup kemampuan untuk membeli barang-barang di Cydia, segera efektif. Saya akan menyusun posting yang lebih formal tentang busur Cydia, kemungkinan akan diterbitkan minggu depan.
Saurik mengkonfirmasi bahwa ia akan mempertahankan pembelian sebelumnya dalam komentar lain, yang dikutip di bawah ini:
Saya bermaksud mempertahankan kemampuan untuk mengunduh paket-paket yang ada: beban akunting dan eksekusi backend ini jauh lebih rendah daripada terus mengizinkan pembelian dan menghapus kode pembayaran berarti saya tidak perlu khawatir bahwa saya mengacaukan hal lain dalam pembayaran backend, keamanan-bijaksana.
Jika semua ini terdengar membingungkan, kami ingin mengulanginya Anda masih dapat menggunakan repositori Cydia dan pihak ketiga, tetapi kami ingin menggunakan waktu ini untuk mengingatkan semua orang tentang pentingnya menggunakan hanya repositori pihak ketiga yang memiliki reputasi baik.
Menambah dan menggunakan repositori pihak ketiga yang teduh menjamin risiko yang lebih tinggi karena informasi pembayaran Anda dikompromikan. Jika Anda tidak tahu apakah repositori pihak ketiga memiliki reputasi atau tidak, maka Anda dapat menggunakan daftar repositori pihak ketiga yang komprehensif ini sebagai panduan Anda. Anggap mereka yang ada di daftar kami 'dipercaya' dan 'memiliki reputasi.'
Meskipun tidak terkait, kita harus menambahkan bahwa manajer paket Sileo masih dalam pengembangan dan bertujuan untuk menggantikan Cydia sebagai penginstal paket utama dan pengelola repositori komunitas jailbreak. Belum ada ETA untuk rilisnya, tetapi Anda harus dapat mengakses repositori dan paket yang sama dengan yang Anda bisa di Cydia.
Apakah Anda senang Saurik menanggapi masalah dengan segera? Sampaikan pendapatmu pada bagian komentar di bawah ini.
