Apple не может остановить русского хакера, взломавшего App Store

17 июля, 2012

Русский хакер Алексей Бородин обнаружил уязвимость, которая позволяет делать покупки в iOS-приложениях без какой-либо оплаты. Для этого необходимо установить поддельные сертификаты на iPhone или iPad, а также использовать кастомизированный DNS-сервер, чтобы обмануть iOS-приложения, которые будут «считать», что связываются с App Store. Бородин заявил Macworld, что уязвимость позволяет подделывать коды (code receipt), которые выдает Apple для проверки покупок из приложений, обманывая устройства. Поддельный код заставляет устройства «думать», что он получен из App Store. По словам Бородина, такие фальшивые коды не содержат никаких пользовательских данных, что позволяет легко подделывать транзакции.

В интервью The Next Web Бородин рассказал, что потребители уже совершили 30 000 покупок из приложений, используя его метод. Однако, на счету PayPal, который был открыт для компенсации затрат Бородина, пока только 6,78 долларов пожертвований.

По данным The Next Web, Apple на выходных заблокировал IP-адреса сервера, который Бородин использовал для взлома. Кроме того, компания обратилась к хостинг-провайдеру сервера с требованием остановить его работу. Apple даже требует удалить видео, в котором Бородин демонстрирует свой метод, с YouTube, мотивируя свое требование нарушением авторских прав.

Несмотря на все усилия, эксплойт по-прежнему активно используется. Бородин заявил The Next Web, что перешел с российского сервера на сервер «в оффшоре». Кроме того, он улучшил эксплойт, перестав полагаться на процесс авторизации App Store, так что Apple теперь еще труднее остановить русского хакера.

Покупки из приложений становятся очень важным генератором выручки для разработчиков и источником дополнительного дохода для Apple, который забирает себе 30% от стоимости всех покупок из приложений. Можно с уверенностью сказать, что взлом Бородина потенциально может оказать большое влияние на «яблочную» компанию и iOS-разработчиков.

Другие новости по теме: