Apple App Store закрылся от хакера уникальными идентификаторами

На прошлой неделе российский программист Алексей Бородин взломал программу Apple (In-App Purchase program), получив платный контент в iOS-приложениях  (iOS 3.0 и выше) без оплаты для всех устройств iPhone, iPad и iPod.

receiptНа этой неделе  Apple закрыл указанную уязвимость, начав  добавлять уникальные идентификаторы в  квитанции подтверждения покупок в App Store. Компания предоставила обновленные API, с помощью которых проверяется каждая цифровая покупка.

Алексей Бородин, создатель упомянутого эксплойта, уже заявил, что Apple закрыл уязвимость. «Сейчас у нас нет способа обойти обновленные API», - написал Бородин в своем блоге, - «Это хорошие новости для всех – iOS стала более защищенной, а разработчики снова получают свои деньги»

Бородин заявил, что эксплойт, для использования которого необходимы сторонние сервера и установка специальных сертификатов безопасности, продолжит работать вплоть до выхода iOS 6. «Внимательно прочитав заявление Apple о покупках из приложений в iOS 6, я могу сказать, что на данный момент игра окончена», - добавил он.

По заявлению Apple, в новой версии мобильной платформы, которая должна выйти через несколько месяцев, будет исключена указанная выше уязвимость.

По словам Бородина в интервью, которое он дал на прошлой неделе, эксплойт позволил совершить бесплатно 8,4 млн покупок контента для iOS-приложений. Если брать минимальную цену одной единицы премиум-контента в $0,99 , то разработчики могли бы получить 5,82 млн долларов, а сам Apple – $2,49 млн (разделение прибыли 70/30). Однако, суммы могут быть еще больше, поскольку цена на премиум-контент для приложений может быть значительно выше 99 центов. Впрочем, не факт, что все пользователи, получившие бесплатный премиум-контент, согласились бы его купить при отсутствии альтернативы.

Несмотря на временную победу Apple на iOS-фронте, Бородин заявил, что модифицированная версия эксплойта для Mac App Store по-прежнему работает. «Мы продолжаем ждать реакции Apple», - сообщил он в том же посте, - «Мы раскрыли еще не все карты».

Эксплойт остается одной из самых серьезных атак на цифровой магазин Apple из приложений.