Недавно мы рассказали про метод, придуманный хакером из России с ником ZonD80 (Алексеем Бородиным). Apple заблокировали DNS сервер, через который пользователи осуществляли бесплатную аутентификацию и покупку в приложениях (In-App-Purchase). Для этого компания Apple написала просьбу одному из хостеров, на котором размещался сервер, о его закрытии. К сожалению, ZonD80 уже успел создать зеркало на сервере, который расположен далеко за рубежом. В дополнение ко всему, была обновлена инструкция «покупки». Теперь перед всеми действиями нужно просто выйти из iTunes аккаунта. Это поможет избежать лишних обвинений на тему кражи информации об аккаунте.
Проблема в том, что Apple поздно заинтересовались этой проблемой. До этого сообщалось, что можно исправить проблему всего лишь добавив небольшую проверку/подтверждение. Выяснилось, что такой метод не поможет полностью. Сервер, при подмене и обходе главного сервера, воспринимает ложный сервер, как официальный. Следовательно, чтобы избежать подобного, нужно вносить серьезные изменения в API, используемое в In-App-Purchase, чтобы запросы не могли быть массово продублированы через «левый» сервер.
По официальной информации от самого хакера, через его сервер было сделано более 30 тысяч запросов и он получил всего лишь 6.78$ на PayPal пожертвования.
Еще Бородин признался, что он видит все запросы пользователей в «читабельном» виде. То есть, логин и пароль передаются в незашифрованном виде, а как есть. Хакер был шокирован, что такая фирма, как Apple не удосужилась зашифровать данные.
Компания Apple заявила, что она серьезно займется проблемой фрауда* и будет расследовать дело до конца.
*Фрауд – вид интернет-мошенничества, при котором мошенник различными способами незаконно получает часть денег или имущества, относящихся к какому-либо сервису.