Российский программист разработал метод, позволяющий без специальной подготовки и «джейлбрейка» совершать покупки внутри приложений для iPhone и iPad бесплатно. Пока Apple не вмешалась, узнавшие о новой возможности пользователи совершили 30 000 транзакций.
Метод разработал ZonD80″, известный «в миру» как Алексей Бородин, а сообщил о нем «яблочный» блог i-ekb.ru. Достаточно скачать на устройство два дополнительных сертификата, поменять адрес DNS в настройках сети, а затем при совершении «покупки» в приложении нажать во всплывающем окне кнопку LIKE. Видеоинструкция также была размещена на YouTube, однако позже была удалена по требованию Apple.
Технически программа на сервере хакера подменяла магазин AppStore, отправляя на устройство пользователя код, подтверждающий совершение покупки. После этого дополнительный контент скачивался на устройство. Способ, разумеется, является незаконным и не соответствует правилам магазина Apple.
Покупки внутри приложений используются их разработчиками для продажи дополнительных функций — например, новых уровней в игре, фильтров обработки в фотоприложении или журналов. По данным издания The Next Web, до того, как лазейку прикрыли (заблокировав «подменный» DNS-сервер), через нее были совершены 30 000 транзакций. Все воспользовавшиеся ею должны были ввести свой логин и пароль от магазина Apple.
Бородин утверждает, что вводимые пользователями данные не собирал, однако пользовавшимся его «хаком» стоит как минимум сменить пароль в App Store. Хакер объяснил, что цели обогатиться не преследовал — на его счет в PayPal с момента публикации метода пришли в качестве благодарности 6 долларов 70 центов. По его словам, он просто хотел привлечь внимание Apple и разработчиков программ к потенциальной уязвимости в магазине приложений.
«Безопасность App Store невероятно важна для нас и сообщества разработчиков, — заявила представитель Apple Натали Харрисон изданию The Loop, комментируя ситуацию. — Мы очень серьезно относимся к сообщениям о незаконной деятельности и проводим расследование».