Российский хакер Алексей Бородин (более известный как ZonD80) воспользовался уязвимостью системы безопасности Apple и запустил сервис, с помощью которого пользователи могут получать апдейты и бонусы в играх на iPhone и iPad совершенно бесплатно без использования джейлбрейка.
Любой пользователь AppStore знает, что так называемые «встроенные покупки» зачастую пересекают все грани разумного, так для Алексея последней каплей стала игра CSR Racing, как он заявил Macworld: «Я устал платить разработчикам игр за каждый вздох».
Механизм подтверждения встроенной покупки удалось обойти очень просто: при покупке внутри приложения пользователю выставляется счет, оплата которого проверяется на сервере Apple, после этого купленный апдейт или бонус открывается. Бородин на своем сайте In-Appstore.com выложил подробную инструкцию как поменять сервер Apple на сервер-близнец, на котором успешно генерируется и высылается подтверждение несуществующей оплаты. Решением для компаний-разработчиков может стать перенос данного функционала на собственные сервера, чем многие сейчас и займутся. За свой проект хакер попросил пожертвовать ему 50$ на поддержание работы сайта.
Что удивительно, сайт Бородина до сих пор работает, а в Apple отказываются комментировать эту ситуацию. Это уже не первый случай дискредитации системы безопасности компании, в прошлом году безупречную репутацию AppStore испортил запущенный в магазин троян.