Как отметил 9to5Mac, российский хакер разработал относительно простой метод, позволяющий пользователям обходить механизм внутриигровых покупок Apple во многих приложениях для iOS, давая возможность получать контент бесплатно.
Альтернативная кнопка подтверждения внутриигровой покупки, видимая на взломанных устройствах
Метод, не требующий джейлбрейка, включает установку пары сертификатов на устройство пользователя и использование пользовательской записи DNS. Затем пользователи могут совершать внутриигровые покупки как обычно, и они будут автоматически перенаправлены через взломанную систему.
Помимо очевидного последствия того, что взлом связан с кражей контента у разработчиков, метод также представляет риск для тех, кто его использует, поскольку часть их собственной информации передается на серверы хакера в процессе покупки. По обоим этим причинам пользователям настоятельно рекомендуется не применять этот метод.
Хакер уже был отключен от своего первоначального хостинга и, по сообщениям, переехал на новый, но сайт в настоящее время недоступен. Неясно, является ли это просто следствием высокого трафика или принимаются другие меры для препятствования его деятельности.
Разработчики могут предотвратить работу взлома в своих приложениях, реализуя проверку квитанций внутриигровых покупок, чего многие разработчики не включили в свои приложения.
Обновление: The Next Web внимательнее изучил метод, разработанный Алексеем Бородиным, который на самом деле не может быть предотвращен простой проверкой квитанций.
Сервису Бородина нужен всего один пожертвованный чек, который он затем может использовать для аутентификации запросов на покупку любого пользователя. Многие из этих чеков были пожертвованы самим Бородиным, который потратил несколько сотен долларов на внутриигровые покупки для тестирования и создания чеков. […]
Поскольку обход имитирует сервер проверки чеков в App Store, приложение рассматривает это как официальное сообщение, и точка.
Решение проблемы в конечном итоге потребует изменений со стороны Apple, которые могли бы улучшить API, используемый для внутриигровых покупок, для предоставления уникально подписанных чеков, которые не могли бы быть массово дублированы, как в случае с сервисом Бородина.
The Next Web также взял интервью у Бородина, который отметил, что передал управление сайтом третьей стороне, чтобы избежать проблем, и удалит любую информацию, которую он получил от управления операцией. По словам Бородина, через его сервис было совершено более 30 000 внутриигровых транзакций, а он заработал всего 6,78 доллара в виде пожертвований через PayPal на покрытие расходов.
Обновление 2: Macworld также пообщался с Бородиным, который отметил, что он действительно может видеть имена учетных записей и пароли пользователей в App Store, поскольку они передаются в открытом тексте как часть процесса внутриигровой покупки.
«Я могу видеть Apple ID и пароль» для учетных записей, которые пытаются использовать взлом, сообщил Бородин Macworld. «Но не информацию о кредитной карте». Бородин сказал, что был «шокирован», что пароли передаются в открытом тексте, а не в зашифрованном виде.
Однако, по словам [разработчика Марко] Табини, «Apple предполагает, что она общается с собственным сервером с действительным сертификатом безопасности». Но это явно была ошибка — «Это полностью вина Apple», добавил Табини.
Обновление 3: Apple выпустила краткое заявление для The Loop, в котором признает, что осведомлена о проблеме и расследует ее.
«Безопасность App Store невероятно важна для нас и сообщества разработчиков, — сказала Натали Харрисон The Loop. — Мы очень серьезно относимся к сообщениям о мошеннических действиях и ведем расследование».
