Apple исправила уязвимость в системе покупок App Store // 21 Декабря 2012

Создатель эксплоита, который позволял пользователям онлайн-магазина App Store компании Apple получать доступ к платному цифровому контенту внутри приложений без денег, сообщил о том, что Apple закрыла данную возможность.

«В настоящее время мы не можем обойти обновленные API. Это хорошая новость для всех, мы помогли улучшить безопасность в iOS, а разработчики снова могут зарабатывать свои деньги на контенте», — написал создатель эксплоита Алексей Бородин в своем блоге.

В середине текущего месяца сообщалось о том, что российский разработчик Алексей Бородин, также известный под именем ZonD80, смог обойти так называемую систему «встроенных покупок» в некоторых мобильных приложениях. Приложения, созданные Бородиным, позволяют «убедить» сервис App Store в том, что покупка была совершена, хотя на самом деле это не совсем так.

Разработка Бородина просто переводила процесс проведения платежа с легитимного сервера, управляемого Apple, на «хакерский» ресурс. Благодаря этому приложение считало, что данные о покупке были переданы в App Store и с покупателя были сняты определенные деньги за осуществленную им покупку. После этого пользователь получал доступ к дополнительному контенту.

По словам Бородина, данная уязвимость продолжит существовать до тех пор, пока Apple не выпустит iOS 6. До этого момента, чтобы не допустить ее эксплуатацию, компания выпустила обновленные API, которые осуществляют проверку каждой покупки внутри приложений.

Источник: Курс.ру.