Hack permite achiziții gratuite în aplicație

Un hacker rus a găsit o modalitate de a face achiziții în aplicație pe iPhone și iPad gratuit. Apple luptă împotriva acestui lucru, dar decalajul nu a fost încă închis.

Rusul Alexey V. Borodin susține că este creatorul hack-ului. Spre deosebire de modalitățile anterioare de a obține gratuit aplicații sau achiziții în aplicație, metoda sa nu necesită ca iPhone sau iPad să fie jailbreak.

achiziții

Trucul este să instalați un certificat manipulat de pe site-ul in-appstore.com configurat pentru hack. Apoi, intrările DNS sunt modificate în setările de rețea. La efectuarea unei achiziții într-o aplicație, serverul Apple care dă aprobarea pentru achiziție nu este contactat, ci serverul Borodin. De exemplu, în cazul jocurilor gratuite, este posibil să activați conținut suplimentar care altfel se poate percepe.

Unele achiziții în aplicație sunt sigureAceastă metodă funcționează pentru dispozitivele cu iOS 3.0 sau o versiune ulterioară și numai pentru aplicațiile care comunică cu serverul Apple pentru a verifica achizițiile în aplicație. Hack-ul nu funcționează pentru aplicațiile care contactează serverul operatorului de aplicații. Potrivit lui Borodin, el lucrează deja la o nouă variantă a hack-ului care poate intercepta și comunicarea cu serverele producătorului.

Metoda are o captură pentru potențialii utilizatori ai hack-ului. Pentru achizițiile în aplicație, ID-ul Apple și parola sunt transmise printr-o conexiune SSL sigură, dar în text clar. Deoarece conexiunea nu mai este stabilită la Apple, ci la serverul Borodin, acesta primește datele de conectare și parolele. Pe baza acestor afirmații, Borodin a modificat hack-ul, astfel încât utilizatorii de pe dispozitiv trebuie să se deconecteze mai întâi de pe contul lor iTunes. „Acum nu vă puteți plânge că datele dvs. sunt furate”, a spus el într-un interviu acordat TheNextWeb.

Reacția Apple Apple a inițiat deja măsuri, dar până acum nu cu succesul dorit. Apple a reușit să șteargă videoclipul de instrucțiuni pentru hack-ul de pe Youtube, iar contul PayPal, pe care Borodin l-a creat pentru donații voluntare, a fost de asemenea blocat. Serverul original al lui Borodin, situat în Rusia, a fost luat offline sub presiunea Apple. Metoda încă funcționează deoarece Borodin a închiriat un server nou în străinătate.

Potrivit lui Borodin, el a dezvoltat hack-ul pentru că era atât de enervat de jocul CSR Racing free-to-play, încât a trebuit să fie achiziționat atât de mult conținut. Potrivit acestuia, peste 300.000 de achiziții în aplicație au fost deja procesate gratuit prin intermediul serverului său.