L’hacker russo Alexey Borodin ha messo a punto un sistema per aggirare i controlli di App Store per gli acquisti in-app, sostanzialmente permettendo di scaricare qualsiasi contenuto dall’interno di una applicazione senza sborsare un soldo.
Il metodo, che può essere applicato su un qualsiasi iPhone anche non jailbroken, richiede l’installazione di un paio di certificati e l’utilizzo di un DNS personalizzato. Gli utenti che hanno così modificato i loro telefoni possono effettuare la normale procedura di acquisto in-app, che indirizza automaticamente al sistema messo in piedi da Borodin.
Non serve sottolineare che una simile operazione è illegale, e che utilizzando questa configurazione personalizzata gli utenti di iOS inviano i propri dati personali ai server dell’hacker, che è stato nelle scorse ore costretto a cambiare host quando Apple lo ha bloccato (richiedendo anche la rimozione di un video pubblicato su YouTube in cui era mostrato il funzionamento del sistema).
Come confermato dallo stesso Borodin a Macworld: “Posso vedere Apple ID e Password, ma non le informazioni riguardanti la carta di credito“. Borodin ha spiegato che durante il normale processo di acquisto in-app su App Store questi dati vengono trasmessi ad Apple in chiaro, senza alcun tipo di cifratura. L’hacker si sarebbe detto shoccato di questa scoperta.
The Next Web ha approfondito la questione dopo che la notizia aveva cominciato a circolare sul web, scoprendo che Borodin ha creato un sistema che è in grado di simulare il sistema di verifica delle ricevute di App Store, di fatto rendendo la comunicazione con i server di Apple in tutto e per tutto “ufficiale”.
Se Apple vuole risolvere il problema dovrà probabilmente modificare le API distribuite agli sviluppatori. Nel frattempo Borodin sembra essersi preoccupato per il suo business, e avrebbe già lasciato la questione in mano ad un’altra compagnia, liberandosi dei dati raccolti durante l’operazione, così da limitare le ripercussioni legali. Secondo quanto riportato dallo stesso Borodin, oltre 30 000 acquisti in-app sarebbero stati (illegalmente) portati a termine con il suo sistema, mentre l’hacker ha ricevuto solo 6,78$ in donazioni tramite PayPal.
L’ultimo aggiornamento della vicenda passa per The Loop, contattato da una portavoce di Apple con una breve dichiarazione ufficiale: “La sicurezza di App Store è incredibilmente importante per noi e per la comunità dei nostri sviluppatori. Ascoltiamo le accuse riguardanti attività fraudolente con grande serietà e stiamo investigando“.
[via]
RiderRosario7 16/07/2012 il 20:32
Che tirchi! Certo che la gente e proprio avara, fa bene apple a spellarli vivi!!!
kitanti 19/06/2015 il 13:32
sei solo un coglione sappilo questo….loro ci mangiano di sopra e tu sei d’accordo…un dispositivo apple lo paghi anke troppo possono mettere almeno le app gratis e no a pagamento…raggiona bene e pensa a quello ke dici pirla
Syd3v1L 27/07/2018 il 22:48
Ecco il quello che insulta senza motivo, 3 anni dopo si, ma te lo dico lo stesso. Sei il solito idiota frustrato da tastiera! Un dispositivo Apple lo paghi cosi tanto per tutto il sistema che c’è attorno oltre che per il marchio demente! Le app ci sono gratis e dimostri di non sapere manco leggere visto che si parla di ACQUISTI IN APP!!! Ora chi è il pirla coglione? Che dementi in rete….