Кажется, борьба Apple против Алексея Бородина, который сумел обойти механизм In-App Purchase и совершать бесплатные покупки в большинстве мобильных приложений, дает свои плоды. На днях русский хакер признался, что компания из Купертино устранила найденную им уязвимость и добавит в iOS 6 исправление, которое практически невозможно обойти.

Напомню в двух словах, что наш земляк предоставил возможность обычным пользователям совершать покупки In-App Purchase и не платить при этом ни копейки. Для чего любителям халявы требовалось лишь установить нескольких сертификатов и ввести определенные настройки беспроводной сети1.

В ответ на это яблочная компания почти неделю игралась с хакером в «кошки-мышки» — блокировала при помощи провайдеров IP-адреса, на которых находился сервер Бородина, чистила YouTube от компрометирующих видео-роликов, и закрывала PayPal-аккаунты, куда перечислялись пожертвования для дальнейшего развития проекта.

Но в целом эти действия были не слишком успешны, и Apple сделала несколько серьезных шагов:

  • Во-первых, на девелоперском портале была опубликована новая ревизия документа «In-App Purchase Receipt Validation on iOS» с примерами кода, позволяющими проверить квитанции, получаемые от серверов App Store. Также, компания предоставила разработчикам доступ к определенной части API (в качестве временного решения, обычно они не позволяют этого делать) для скорейшего выпуска фикса.
  • Во-вторых, Apple усилила систему безопасности iOS, и в скором времени, по словам самого Бородина, обойти обновленные API будет попросту невозможно.

Правда, есть один небольшой нюанс — данное исправление станет доступно лишь после выхода iOS 6, поэтому разработчикам все равно придется выпустить обновленные версии своих мобильных приложений, чтобы обезопаситься от взлома In-App Purchase. И это, конечно же, в их интересах, ведь желающих совершить бесплатную покупку внутреннего контента, по данным хакера, хоть отбавляй — на прошлой неделе он обработал почти 8,5 миллионов транзакций.

Тем не менее, для программ, которые по тем или иным причинам не будут обновлены и останутся уязвимыми, Бородин обещает оставить сервер в рабочем состоянии как минимум до публичного релиза iOS 6.

  1. А заодно подвергнуть себя риску лишиться Apple ID и даже сбережений на банковском счете. Об этом мы говорили в прошлый раз.

Читайте также: