Apple pracuje nad zablokowaniem rosyjskich serwerów, które pozwalają użytkownikom omijać zakupy w aplikacji iOS i uzyskiwać treści za darmo. Firma z Cupertino podobno zaczęła blokować niektóre adresy IP w weekend i zlikwidowała jeden serwer. Ale pomimo wysiłków służba nadal działa.
Odkryty przez rosyjskiego hakera Aleksieja V. Borodin, exploit umożliwił użytkownikom iOS uzyskanie dowolnego rodzaju zakupu w aplikacji – w tym waluty w grze i dodatkowej zawartości – za darmo. Metodę Borodina mógł wykorzystać prawie każdy, a programiści nie mogli zrobić nic, aby temu zapobiec.
Borodin założył witrynę In-AppStore.com, aby ułatwić oszustwo, i ujawnił The Next Web, że przetworzył już ponad 30 000 żądań płatności.
Jednak Apple pracuje teraz nad zablokowaniem exploita Borodina. Zanim zaczęła blokować jego serwery, firma wysłała żądanie usunięcia na oryginalnym serwerze, które zostało usunięte przez hosta znajdującego się w Rosji. Od tego czasu jednak Borodin założył nowy w innym kraju, starając się uniknąć blokady Apple.
Borodin mówi nam, że nowa usługa została zaktualizowana i wycina serwery Apple, „ulepszając” protokół tak, aby obejmował własne procesy autoryzacji i transakcji. Nowa metoda „może i nie będzie już docierać do App Store, więc funkcja proxy (lub buforowania) została wyłączona”.
Borodin zmienił również swój proces, aby zmusić użytkowników do wylogowania się z kont iTunes przed skorzystaniem z usługi, aby nie można było go oskarżyć o kradzież ich danych.
Apple zablokował oryginalny film demonstracyjny Borodina na YouTube, a PayPal zablokował wszystkie darowizny na jego konto. Jednak haker nie ma zamiaru się poddawać, a jak zauważa The Next Web, to, co pierwotnie było prostym lukiem w zabezpieczeniach, teraz zamieniło się w grę w kotka i myszkę pomiędzy Apple i Borodin. Co jednak ciekawe, Borodin twierdzi, że Apple nie kontaktował się z nim bezpośrednio.
Jest rzeczą oczywistą, że exploit Borodina pozbawia programistów iOS przychodów, które zwykle uzyskiwaliby z tych zakupów w aplikacji, i jest równoznaczny z kradzieżą płatnych aplikacji. Mając to na uwadze, radzimy każdemu omijać tę usługę.
Źródło: Następna sieć