| 13 июля 2012 г. — 6:17 утра по тихоокеанскому времени
[youtube=http://www.youtube.com/watch?v=iSuo4xEucqE]
Видео удалено из-за претензии Apple об авторских правах
Сегодня мы получили несколько тревожных сообщений о том, что российский разработчик опубликовал метод бесплатного получения внутриигровых покупок из приложений для iOS. Впервые замечено российским блогом i-ekb.ru, метод «прокси внутриигровых покупок» не требует джейлбрейка, может быть выполнен новичками за три шага с использованием только устройства iOS и позволяет пользователям бесплатно устанавливать внутриигровой контент. Хак также работает на всех устройствах с iOS от 3.0 до 6.0. Мы подтвердили, что метод работает (по крайней мере, временно), и опубликованные инструкции начинают привлекать внимание, поэтому мы решили опубликовать эту историю в качестве предупреждения для сообщества разработчиков Apple.
Похоже, что взлом исходит от российского разработчика ZonD80, который разместил вышеуказанную демонстрацию в видео. ZonD80 также, по-видимому, ведет сайт под названием In-AppStore.com, где принимаются пожертвования для поддержки разработки проекта и обеспечения работы серверов. Разработчик объяснил три шага взлома, которые включают установку сертификата CA, установку сертификата in-appstore.com и изменение записи DNS в настройках Wi-Fi. После быстрого процесса пользователям отображается сообщение, показанное выше, при установке внутриигровых покупок, в отличие от обычного диалогового окна подтверждения покупки Apple. Тот факт, что этот взлом используется для кражи контента внутриигровых покупок, возможно, так же тревожен, как и условия предоставления услуг разработчика. Ниже приведен список данных, обрабатываемых серверами разработчика в рамках этого процесса (но опять же, мы призываем читателей не пробовать это):
— уровень ограничения приложения
— идентификатор приложения
— идентификатор версии
— guid вашего устройства
— количество внутриигровых покупок
— название предложения внутриигровой покупки
— используемый вами язык
— идентификатор приложения
— версия приложения
— ваша локаль
Метод не позволяет пользователям устанавливать контент из 100% приложений, поскольку некоторые пользователи метода сообщают о сбоях при определенных внутриигровых покупках в конкретных регионах. Это, конечно, не то, что мы одобряем. Несмотря на предупреждения самого разработчика «не пиратствовать приложения AppStore», он продолжал помогать пользователям взлома, которые сообщали о неработающих приложениях. Будем надеяться, что Apple и сообщество разработчиков смогут остановить этого парня, пока не будет незаконно загружено слишком много контента.
Обновление: Комментаторы отметили, что Apple предоставляет разработчикам метод проверки чеков внутриигровых покупок. Вероятно, именно поэтому описанный выше взлом не работает с некоторыми приложениями, и это то, чем должны пользоваться все разработчики, внедряющие IAP.
Обновление 2: TNW пообщался с Алексеем В. Бородиным, разработчиком взлома, который утверждал, что приложения, использующие метод проверки чеков Apple, упомянутый выше, не безопасны. По словам Бородина, обойти взлом могут только разработчики, использующие свои собственные серверы для проверки внутриигровых покупок.
Обновление 3: Apple ответила на публикацию в The Loop по поводу ситуации следующим заявлением:
«Безопасность App Store невероятно важна для нас и для сообщества разработчиков», — заявила представитель Apple Натали Харрисон The Loop. «Мы очень серьезно относимся к сообщениям о мошеннической деятельности и проводим расследование».
Связанные статьи