Haker w aplikacji wrócił do gry, tym razem z systemem OS X

Teraz, gdy Apple naprawia exploita zakupów w aplikacji, którego rosyjski haker Aleksiej Borodin ujawnione w tym tygodniu, wygląda na to, że znowu to robi. Tym razem jednak jest to hack zakupu w aplikacji, który działa w Mac App Store.

Metoda tutaj jest podobna do tej, którą Borodin użył w iOS, z użytkownikiem instalującym fałszywe certyfikaty bezpieczeństwa, a następnie wskazującym serwery DNS Maca na fałszywy serwer prowadzony przez Borodina. Zdalny serwer następnie udaje rzeczywisty sklep Mac Store i weryfikuje zakup, pomijając rzeczywisty system zakupów w aplikacji skonfigurowany przez Apple i używany przez programistów aplikacji na komputery Mac. Borodin twierdzi, że system ten pozwolił do tej pory na około 8,4 miliona darmowych zakupów.

To kolejny cios dla Apple, który wcześniej ogłosił, że deweloperzy iOS mogą wykorzystać tymczasową poprawkę dla swojego iOS 5 aplikacje zapobiegające działaniu hakera na iOS i kradzieży zakupów w aplikacji, z bardziej trwałym zestawem poprawek dla iOS 6, nadchodzi wkrótce. Możemy jedynie założyć, że Apple stworzy podobną poprawkę dla exploita Mec OS X, być może nawet doda ją do nadchodzącej wersji Mountain Lion dla systemu OS X (10.8).

To prawda, aplikacje na iOS zwykle polegają na zakupach w aplikacji bardziej niż aplikacje na OS X, ale ich kradzież to kradzież, nawet na mniejszą skalę. Apple może tylko zaszkodzić, jeśli taki exploit będzie istniał dłużej, niż jest to absolutnie konieczne do stworzenia solidnej poprawki.

Dlaczego Borodin to robi, nie jest jasne – czy podoba mu się wyzwanie techniczne, gra z Apple, czy też protestuje przeciwko samemu systemowi zakupów w aplikacji? W tym momencie możemy tylko doradzić, że wszyscy trzymamy się z daleka od takiego exploita, ponieważ nie tylko pozbawia on Apple dochodów, ale także deweloperów, z których żaden nie ma rezerw gotówkowych, jakie Apple posiada.

Źródło: Następna sieć