Параллельно с выходом/возвращением компьютеров Mac в экологический рейтинг EPEAT, с прошлой недели тянется еще одна увлекательная история, связанная с In-App Purchase. Сегодня я попытаюсь восстановить ход событий и сказать пару слов о том, что делает Apple для устранения хака.
Первые упоминания об этом удивительном методе появились еще в прошлую пятницу, после того, как на YouTube появилось «обучающее видео», в котором пользователь под ником ZonD80 совершил внутреннюю покупку в мобильном приложении и не заплатил за это ни цента. В Cydia уже давно существуют пакеты с подобными возможностями, но главное отличие нового подхода заключалось в том, что не требовалось делать jailbreak — достаточно было установить несколько сертификатов и изменить настройки Wi-Fi.
Опробовав запущенный сервис, популярные блоги Apple-тематики (например, 9to5Mac) пришли к выводу, что метод вполне рабочий, хотя обойти In-App Purchase получилось далеко не во всех программах. Тем не менее, проект находился «на ранней стадии» и на его дальнейшее развитие собирались пожертвования.
А спустя еще некоторое время оказалось, что автором метода является русский хакер Алексей Бородин. Зачем он это сделал? Ответ на этот вопрос получили авторы ресурса Macworld:
«Это мое хобби, и это вызов одному приложению». Данная игра использует модель Freemium; а поскольку она доступна для свободной загрузки, с помощью внутренних покупок пользователи могут разблокировать дополнительные внутриигровые опций и возможности. Бородин не одобряет такой подход: «Я занялся этим вопросом из-за голодных и ленивых разработчиков … Я был очень зол, поскольку создатели этой игры намеревались содрать с меня деньги за каждый вдох».
Оставляя обсуждение морально-этических аспектов за пределами данной статьи, я бы хотел упомянуть еще об одной замечательной детали — логин/пароль от Apple ID, а также прочие сопутствующие данные передавались в открытом виде. Поэтому через некоторое время стали появляться сообщения о взломе пользовательских аккаунтов, несмотря на слова хакера о том, что он ничего у себя не хранит1.
Официальная позиция Apple по этом вопросу тоже не заставила себя долго ждать. Её озвучила пресс-секретарь Натали Харрисон (Natalie Harrison) :
Безопасность App Store очень важна для нас и сообщества разработчиков. Мы принимаем сообщения о мошеннической деятельности очень серьезно, и мы расследуем эту ситуацию.
И хотя специалисты компании из Купертино не нашли возможности полностью заблокировать использование этого хака, последующие дни оказались довольно изматывающими: Apple начала активно блокировать IP-адреса серверов, которые Бородин использовал для аутентификации покупок, основательно почистила YouTube от компрометирующих видео-роликов и привлекла к своим разборкам PayPal, потребовав забанить оригинальный аккаунт с пожертвованиям2.
Но, как вы понимаете, эти действия равносильны стрельбе из пушки по воробьям — хакер запросто может перенести свой сервер на новые IP и зарегистрировать другие аккаунты в PayPal. Уже сейчас Алексей Бородин работает над усовершенствованием процесса авторизации и транзакции, чтобы приложения вовсе перестали обращаться к серверам Apple, а пользователям больше не требовалось вводить свои учетные данные.
Но даже в этом случае можно столкнуться с неприятными последствиями, считает Аластар Хугтон (Alastair Houghton):
Метод обхода системы верификации Apple при желании может быть использован, также, для перехвата трафика, который предназначается любому другому защищенному сайту, в частности, сайтам банков. Более того, если вы установите на устройство сертификаты и пропишите его DNS-серверы, то даже не узнаете, что что-то пошло не так. В конечном итоге это может привести к опустошению вашего банковского счета.
Остается надеяться, что Apple решит данную проблему как можно скорее.
- С другой стороны, прямых доказательств причастности Бородина к взломам тоже нет. ↩
- Согласитесь, это выглядит очень забавно: люди не хотят заплатить деньги за внутриигровую валюту, рискуя не только своим Apple ID, но и банковскими счетами, но при этом с радостью вносят пожертвования. Тут впору вспомнить великолепный комикс Oatmeal по этому поводу. ↩
Последние комментарии