Apple sta lavorando per bloccare i server russi che consentono agli utenti di eludere gli acquisti in-app iOS e ottenere contenuti gratuitamente. Secondo quanto riferito, la società di Cupertino ha iniziato a bloccare determinati indirizzi IP durante il fine settimana e ha fatto rimuovere un server. Ma nonostante i suoi sforzi, il servizio continua a funzionare.
Scoperto dall'hacker russo Alexey V. Borodin, l'exploit ha permesso agli utenti iOS di ottenere qualsiasi tipo di acquisto in-app, inclusa valuta di gioco e contenuti extra, gratuitamente. Il metodo di Borodin poteva essere utilizzato da quasi chiunque e non c'era nulla che gli sviluppatori potessero fare per impedirlo.
Borodin ha creato il sito Web In-AppStore.com per facilitare la truffa e ha rivelato a The Next Web di aver già elaborato oltre 30.000 richieste di pagamento.
Tuttavia, Apple sta ora lavorando per bloccare l'exploit di Borodin. Prima di iniziare a bloccare i suoi server, la società ha emesso una richiesta di rimozione sul server originale, che è stata rimossa dall'host situato in Russia. Da allora, tuttavia, Borodin ne ha creato uno nuovo in un altro paese nel tentativo di evitare il blocco di Apple.
Borodin ci dice che il nuovo servizio è stato aggiornato e taglia i server di Apple, "migliorando" il protocollo per includere i propri processi di autorizzazione e transazione. Il nuovo metodo "può e non raggiungerà più l'App Store, quindi la funzione proxy (o memorizzazione nella cache) è stata disabilitata".
Borodin ha anche modificato il suo processo per costringere gli utenti a uscire dai loro account iTunes prima di utilizzare il servizio, in modo che non possa essere accusato di aver rubato i loro dati.
Apple ha bloccato il video dimostrativo originale di Borodin su YouTube e PayPal ha bloccato tutte le donazioni sul suo account. Ma l'hacker non ha intenzione di arrendersi e, come osserva The Next Web, quello che in origine era un semplice exploit di sicurezza si è trasformato in un gioco del gatto col topo tra Apple e Borodin. La cosa interessante, tuttavia, è che Borodin afferma che Apple non lo ha contattato direttamente.
Inutile dire che l'exploit di Borodin priva gli sviluppatori iOS delle entrate che di solito raccolgono da questi acquisti in-app ed è uguale al furto di app a pagamento. Detto questo, consigliamo a chiunque di evitare questo servizio.
Fonte: Il prossimo Web