A Hack lehetővé teszi az ingyenes alkalmazáson belüli vásárlásokat

Egy orosz hacker megtalálta a módját annak, hogy ingyen vásárolhasson alkalmazáson belül iPhone-on és iPad-en. Az Apple harcol ez ellen, de a hiány még nem szűnt meg.

Az orosz Alexey V. Borodin azt állítja, hogy ő a hack megalkotója. Az alkalmazások vagy alkalmazáson belüli vásárlások ingyenes beszerzésének korábbi módjaival ellentétben a módszer nem igényli az iPhone vagy az iPad börtönbontását.

ingyenes

A trükk az, hogy manipulált tanúsítványt kell telepíteni az in-appstore.com webhelyről, amelyet a hackelésre állítottak be. Ezután a DNS-bejegyzések megváltoznak a hálózati beállításokban. Alkalmazásban történő vásárláskor nem a vásárlást jóváhagyó Apple szerverrel, hanem a Borodin szerverrel keresik fel a kapcsolatot. Például az ingyenesen játszható játékokkal további tartalom aktiválható, amely egyébként fizetendő.

Néhány alkalmazáson belüli vásárlás biztonságosEz a módszer az iOS 3.0 vagy újabb verziójú eszközökön működik, és csak azoknál az alkalmazásoknál működik, amelyek az Apple szerverrel kommunikálnak az alkalmazáson belüli vásárlások ellenőrzésére. A hack nem működik azoknál az alkalmazásoknál, amelyek kapcsolatba lépnek az alkalmazás-üzemeltető szerverével. Borodin szerint már dolgozik a hack új változatán, amely képes a gyártó szervereivel való kommunikációt is lehallgatni.

A módszer megragadja a hack potenciális felhasználói számára. Alkalmazáson belüli vásárlások esetén az Apple azonosítót és a jelszót biztonságos SSL kapcsolaton keresztül továbbítják, de tiszta szöveggel. Mivel a kapcsolat már nem az Apple-hez, hanem a Borodin szerverhez jön létre, megkapja a bejelentkezési adatokat és a jelszavakat. Ezen állítások alapján Borodin úgy módosította a feltörést, hogy az eszköz felhasználóinak először ki kell jelentkezniük az iTunes-fiókjukból. "Most nem panaszkodhat, hogy ellopják az adatait" - mondta a TheNextWeb interjúban.

Az Apple reakciója Az Apple már kezdeményezett intézkedéseket, de eddig nem a kívánt sikerrel. Az Apple törölni tudta a feltörés instrukcióvideóját a Youtube-on, és a PayPal-fiókot is letiltották, amelyet Borodin önkéntes adományokból hozott létre. Borodin eredeti, Oroszországban található szerverét az Apple nyomására offline állapotba helyezték. A módszer továbbra is működik, mert Borodin új szervert bérelt külföldön.

Borodin szerint azért fejlesztette ki a feltörést, mert annyira idegesítette az ingyenesen játszható CSR Racing játék, hogy annyi tartalmat kellett vásárolni. Elmondása szerint a szerverén keresztül már több mint 300 000 alkalmazáson belüli vásárlást dolgoztak fel ingyenesen.