Российский хакер нашел возможность частично обойти систему оплаты в цифровом магазине Apple – App Store, не вскрывая при этом операционную систему гаджетов. Если говорить точнее, в Сети появилась инструкция с описанием того, как обойти механизм покупок внутри приложения в iOS. Функция In App Purchase дает пользователю возможность через App Store приобретать дополнительные возможности и контент: например, новые номера журналов, виртуальную игровую валюту и т.д.
Российский хакер Алексей Бородин, известный в сети под ником ZonD80, сумел симулировать процесс покупки и ее подтверждение. Если проводить эту внутреннюю покупку через сайт хакера in-appstore.com, гаджет принимает имитацию подтверждения платежа за истинную оплату. По этой причине система работает только для тех приложений, которые не проверяют достоверность сделанных покупок на своем сервере. Впрочем, их число весьма велико – содержание серверов для защиты приложений для разработчиков накладно.
Способ Бородина не требует предварительного "джейлбрейка" гаджета — пользователю необходимо установить на iPhone или iPad два сертификата и изменить настройки DNS. После этого остается только зайти в приложение и совершить покупку без оплаты, которая будет проведена через сайт хакера. На данный момент число нелегальных транзакций уже исчисляется десятками тысяч.
Когда информация об уязвимости распространилась по блогам, Apple направила жалобу хостингу, на котором работал сервер российского хакера, и он был оперативно отключен. Но спустя всего несколько часов разработчик настроил новый сервер, и желающие снова получили возможность беспрепятственно обманывать Apple. Создатель in-appstore.com отмечает, что отлаженная им схема будет действовать, пока в компании Тима Кука не поменяют систему проверки внутренних платежей.
В Apple ситуацию прокомментировали сухо: "Безопасность AppStore имеет для нас и сообщества разработчиков приоритетную важность. Мы воспринимаем сообщения о мошеннической деятельности очень серьезно и занимаемся расследованием случившегося", — сообщили там.
Впрочем, в опасности могут оказаться не только разработчики, но и обычные клиенты Apple. Во-первых, пользователь такого нелегального метода авторизуется через сайт хакера и дает ему принципиальную возможность перехватить свой логин и пароль к магазину App Store. А во-вторых, Бородин обнаружил, что Apple ID и пароли передаются на сервер в незашифрованном виде. В интервью сайту Zdnet хакер сказал, что последнее его "шокировало".
Впрочем, в еще одном интервью — техноблогу TheNext Web – Алексей Бородин, заявил, что готов к сотрудничеству с Apple, и сайтом In-Appstore.com он больше не управляет.
*** ***
Производство нового iPhone стартовало. Об этом пишет ресурс AppleInsider со ссылкой на японский блог Macotakara. Сообщается, что новый iPhone будет сильно походить на один из прототипов, фотографии которого появились в Интернете еще в мае. Судя по снимкам, гаджет получит вытянутый корпус, увеличенный Retina-дисплей с диагональю в 4 дюйма, и металлическое обрамление.
Ожидается, что изменится расположение разъема для наушников, а задняя стенка смартфона будет выполнена из алюминия со стеклянными вставками. iPhone нового поколения будет тоньше своих предшественников. По данным MacOtakara, реальный аппарат будет соответствовать этому описанию практически полностью, за исключением небольших деталей.
Ожидается, что гаджет поступит в продажу осенью – одновременно с выпуском новой операционки от Apple iOS 6, под управлением которой и будет работать последний iPhone. Пока что все это – только слухи, однако прогнозы японского блога по поводу новых продуктов Apple неоднократно сбывались.