Житель України знайшов спосіб обійти захист AppStore – ВІДОМОСТІ

спосіб

При покупці in-app додаток відправляє запит до інтернет-магазину Apple AppStore, той генерує якийсь чек про покупку і відправляє його для перевірки на сервер розробника, де після підтвердження повертають дані в AppStore, – а тут уже схвалюють купівлю та завантаження товару з сервера розробника , Пояснює директор Центру вірусних досліджень компанії Eset Олександр Матросов. За його словами, Бородін виявив, що дані, якими обмінюються сервери AppStore та розробника, передаються у незахищеному вигляді та їх можна підробити.

На Заході про злом дізнались минулої п'ятниці після того, як про нього написав популярний сайт 9 to 5 Mac. На той час за допомогою сервісу користувачі безкоштовно здійснили вже більше 30 000 покупок, розповів Бородін The Next Web. Він вигадав систему злому, оскільки його не влаштувало, що розробники гри CSR Racing буквально змушують користувачів купувати віртуальні товари.

Аpple вже розслідує повідомлення про злам системи покупок in-app, заявила газеті Los Angeles Times представник компанії Наталі Харрісон. "Безпека AppStore неймовірно важлива для нас і для спільноти розробників", - запевнила вона газету.

Однак у понеділок система злому покупок in-app, як і раніше, працювала. Бородін заявив "Відомостям", що вважає злом законним: "Покупки всередині додатків - не об'єкт ліцензування". «Ви платите ні за що ви можете поставити гру Cut the Rope, накупити товарів на $200, видалити її, поставити заново і у вас нічого не буде. Розробник нізащо не відповідає», – обурюється Бородін. Він уточнив, що представники Apple до нього не зверталися. Натомість зверталися розробники додатків для AppStore, усміхається Бородін. «Дехто пишуть,що я злодій, деякі захоплюються і пропонують роботу», – каже він. Він стверджує, що не знає, скільки разів скористалися його зломом – він відключив статистику ще у п'ятницю.

Розробник гри Cut The Rope компанія Zeptolab, сама знайшла спосіб заблокувати безкоштовну роздачу віртуальних артефактів, розповів гендиректор Zeptolab Михайло Лялін. За його оцінками, зломом скористалися одиниці користувачів, і Zeptolab не бачать сенсу позбавляти безкоштовних артефактів тих, хто їх отримав за допомогою сервісу Бородіна. Цей злом не зачепив популярні ігри української Game Insight, яка заробляє саме на продажу віртуальних товарів, радіє засновник компанії Аліса Чумаченко.

Apple потрібно захистити дані в системі in-app стійкішими криптографічними алгоритмами, вважає Матросов з Eset. Зламати цю систему вдалося перш за все тому, що Apple взагалі не шифрує дані користувача при покупках всередині додатків, пояснює представник антивірусної компанії «Доктор Веб» Кирило Леонов. Для підвищення безпеки Apple також могла б закрити деякі зміни налаштувань доступу в інтернет, вважає він. З його слів, злом in-app – перший за всю історію AppStore. Але він торкнувся порівняно невеликої кількості додатків, підкреслює Леонов.