Совсем недавно мы уже рассказывали о том, как появился сервис для осуществления бесплатных встроенных покупок. В своем интервью автор взлома, Алексей Бородин, сказал, что метод, который использует Apple для проверки подлинности покупок, никак не защищает разработчиков от взлома их приложений. Позже стало известно, что Apple подняла целое расследование по этому поводу. А сегодня появилось несколько новостей от The Next Web.
В течение прошедших выходных Apple начала блокировать IP-адрес севрера, который используется русским хакером Алексеем Бородиным для авторизации покупок. Apple успела отправить запрос хостингу на блокировку первоначального севрера, сделать видео, в котором демонстрируется работа этого хака, недоступным, а также заблокировать PayPal-аккаунт хакера, на который он принимал пожертвования пользователей.
К сожалению, стало известно, что сервер для осуществления взлома до сих пор работает, так как Бородин перенес его за пределы России. Он рассказал The Next Web, что новый сервис «обновлен и теперь никак не зависит от серверов Apple, так как в улучшенном протоколе уже есть возможность самостоятельного проведения авторизаций и транзакций».
Алексей также внес значительные изменения в систему взлома. Так, теперь не обязательно входить в свой аккаунт — этим он хочет показать, что не крадет данные пользователей. Однако, у разработчика Аластейра Хоутона есть большие подозрения, что Бородин может использовать свой способ также для «перехвата данных с других сайтов»:
Тот метод, который использует Бородин для обмана системы проверки Apple, мог бы также позволить ему перехватывать данные с любого сайта, где содержится платежная информация, к примеру, банковского сайта. Более того, на самом устройстве не осталось бы никаких следов, что эти данные были похищены. Поэтому если вы хотите попрощаться со своим банковским аккаунтом, то следуйте инструкциям и подвергайте себя риску.
Хоутон также предложил способ для разработчиков, который может им помочь защитить свои приложения от несанционированных «покупок»:
Разработчики могут использовать сервер проверки Apple, не делая свое приложение уязвимым для метода Бородина, просто совершая проверку всех данных покупки. Сделать это очень легко, и самое главное, после этого ваше приложение будет «непробиваемым».
Бородин сообщил TNW, что Apple с ним еще не связывалась, но очевидно, что компания знает о существовании этой проблемы и работает над ее решением. Мы советуем вам не пользоваться этим сервисом, так как лучше один раз заплатить доллар за стоящее дополнение, чем на всю жизнь попрощаться со своим банковским счетом, не так ли?
