Хак дозволяє безкоштовно купувати в додатку

Російський хакер знайшов спосіб робити покупки в додатках на iPhone та iPad безкоштовно. Apple бореться проти цього, але розрив ще не усунутий.

Росіянин Олексій Васильович Бородін заявляє, що є творцем хакерства. На відміну від попередніх способів отримання додатків або покупок в додатках безкоштовно, його метод не вимагає розбиття iPhone або iPad.

дозволяє

Фокус полягає у встановленні маніпульованого сертифіката з веб-сайту in-appstore.com, створеного для злому. Потім записи DNS змінюються в налаштуваннях мережі. При покупці в додатку не зв’язується сервер Apple, який дає дозвіл на покупку, а сервер Бородіна. Наприклад, можна активувати додатковий вміст, який інакше оплачується за безкоштовні ігри.

Деякі покупки в додатку безпечніЦей метод працює для пристроїв з iOS 3.0 або новішої версії та лише для програм, які взаємодіють із сервером Apple для перевірки покупок у програмі. Злом не працює для додатків, які звертаються до сервера оператора додатків. За словами Бородіна, він вже працює над новим варіантом злому, який також може перехоплювати зв'язок із серверами виробника.

Метод має затримку для потенційних користувачів зламати. Для покупок у програмі ідентифікатор Apple і пароль передаються через захищене з’єднання SSL, але чітким текстом. Оскільки зв’язок встановлюється вже не з Apple, а з сервером Бородіна, сервер Бородіна отримує дані для входу та паролі. На підставі цих тверджень Бородін змінив хакерство, щоб користувачі пристрою спочатку мали вийти зі свого акаунта iTunes. "Тепер ви не можете скаржитися на те, що ваші дані викрадені", - говорить він в інтерв'ю TheNextWeb.

Реакція Apple Apple вже ініціювала заходи, але поки що не з бажаним успіхом. Apple змогла видалити відео з інструкцією щодо злому на Youtube, а також був заблокований рахунок PayPal, який Бородін створив для добровільних пожертв. Оригінальний сервер Бородіна, розташований у Росії, був виведений з мережі під тиском Apple. Метод все ще працює, оскільки Бородін орендував новий сервер за кордоном.

За словами Бородіна, він розробив хакерство, оскільки його так дратувала безкоштовна гра CSR Racing, що довелося придбати стільки вмісту. За його словами, понад 300 000 покупок в додатку вже зроблено безкоштовно через його сервер.