Страсти вокруг взлома системы покупок внутри приложений In-App Purchase не утихают. На выходных Apple заблокировала IP-адреса сервера, который хакер Алексей Бородин, известный под ником ZonD80, использовал для взлома. Компания обратилась к хостинг-провайдеру сервера с требованием остановить его работу.
Кроме того, Apple требует удалять видео на YouTube, демонстрирующих процесс взлома, объясняя свое требование нарушением авторских прав.
Напомним, что сам способ взлома основан на уязвимости системы биллинга. Схема действий достаточно проста: необходимо скачать на устройство 2 дополнительных сертификата, изменить в настройках сети адрес DNS, зайти в интернет-магазин под несуществующим аккаунтом и купить приложение. При этом, Apple Store считал, что деньги со счета абонента списаны, и бесплатно устанавливал на устройство приложения.
По утверждению Apple, Бородин постоянно меняет местоположение DNS-серверов и регулярно восстанавливает видеоинструкции на YouTube, из-за чего компании не удается заблокировать способ взлома. Хотя стоит отметить, что общаться напрямую с Бородиным Apple не пробовала.
На данный момент, пользователи уже успели совершить около 30 000 покупок из приложений, используя указанный способ взлома. Согласно данным The Next Web, сейчас Бородин перешел с российского сервера на сервер «в оффшоре». А главное – хакеру удалось улучшить свой эксплойт, перестав полагаться на процесс авторизации App Store.
Стоит отметить, что взлом хакера потенциально сможет оказать влияние на дальнейшее развитие компании и деятельность iOS-разработчиков. В первую очередь, Apple придется изменить защитные механизмы App Store.
Напомним, что это не первая прореха в истории компании. В начале июля эксперты из «Лаборатории Касперского» обнаружили в магазине App Store приложение, которое без разрешения пользователя копировало на удаленный сервер телефонную книгу и рассылало спам по всем контактам. Ранее в конце мая эксперты из российской компании ElcomSoft обнаружили способ взлома облачного хранилища Apple iCloud. При условии того, что известен уникальный идентификатор пользователя сервиса Apple ID, данные в iCloud оказывались защищены только паролем от учетной записи пользователя.
Комментарии
Ответить