| 16 июля 2012 г. — 8:20 PT
[tweet https://twitter.com/alastairh/status/224836579707985920]
В пятницу мы сообщили о тревожных сведениях, полученных нами относительно «прокси-взлома» покупок в приложениях, который позволял даже неопытным пользователям незаконно устанавливать платный контент из покупок в приложениях бесплатно. В дополнениях к нашей оригинальной статье мы отметили, что разработчик взлома, Алексей В. Бородин, заявил в интервью, что метод Apple для проверки квитанций для разработчиков не защитит приложения от взлома. Apple последовала этому заявлением, утверждая, что расследует проблему. Сегодня мы получили обновление от The Next Web, в котором далее утверждается, что Apple начала принимать меры в выходные:
В выходные Apple начала блокировать IP-адрес сервера, используемого российским хакером Алексеем В. Бородиным для аутентификации покупок.
Затем последовал запрос на удаление исходного сервера, вместе с которым было прекращено действие сторонней аутентификации, а также был подан иск об авторских правах на обзорное видео, которое Бородин использовал для документирования метода обхода. PayPal также вмешался, заблокировав исходный счет для пожертвований за нарушение условий предоставления услуг.
К сожалению, сервис, по сообщениям, по-прежнему работает, и Бородин, по-видимому, перенес сервер в место за пределами России. Он сообщил The Next Web, что новый сервис был «обновлен и отключается от серверов Apple, «улучшая» протокол, включая собственные процессы авторизации и транзакций. Новый метод «больше не может и не будет достигать App Store, поэтому функция прокси (или кэширования) отключена».
[tweet https://twitter.com/alastairh/status/224834890665967616]
Хотя Бородин также заявил, что изменил процесс, чтобы заставить пользователей выйти из своих учетных записей iTunes (чтобы заверить пользователей, что он не крадет личные данные / данные кредитной карты), есть немало причин для беспокойства. Разработчик Алистер Хоутон сообщил нам, что, по его мнению, метод Бородина может быть использован для «перехвата трафика, предназначенного для любого другого безопасного веб-сайта»:
метод, который г-н Бородин использует для обхода системы проверки квитанций Apple, также, если бы он пожелал, позволил бы ему перехватывать трафик, предназначенный для любого другого безопасного веб-сайта, включая, в частности, веб-сайты банков. Более того, на устройстве, настроенном доверять его сертификату и использовать его DNS-сервер, не было бы никаких признаков того, что что-то не так. Если вы хотите остаться с пустым банковским счетом, следование инструкциям такого рода, которые приводят к тому, что ваши DNS и доверие к сертификатам находятся под контролем ненадежной третьей стороны, — это *действительно* хороший способ добиться этого.
Хотя процесс проверки квитанций Apple не обязательно защищал бы разработчиков, Хоутон предложил решение для разработчиков, пока Apple работает над более постоянным исправлением:
разработчики могут использовать сервер проверки Apple, не подвергаясь уязвимости к методу Бородина, просто проверяя, что сертификаты, используемые сервером Apple, являются теми, которые они ожидают. Это достаточно легко сделать, изучив отпечатки сертификатов, и, вероятно, это уже делается в некоторых приложениях, которые, по его словам, не работают с его взломом.
Бородин сообщил TNW, что Apple не связывалась с ним, но очевидно, что компания осведомлена о проблеме и работает над ее решением. Мы, конечно же, настоятельно рекомендуем избегать этого сервиса и всего, что связано с Бородиным.