Новая технология защиты легитимности покупок "внутри приложения", внедренная в популярный магазин программ для мобильных устройств Apple — App Store — после того, как русский хакер Алексей Бородин скомпрометировал прежнюю защитную систему, надежна и пока не поддается взлому, написал хакер в своем блоге In-AppStore.com.
В начале июля россиянин Алексей Бородин с группой разработчиков опубликовал в сети способ бесплатного получения платных обновлений программ из магазина приложений App Store.
Система In App Purchase позволяет разработчикам приложений зарабатывать деньги на дополнительных покупках, которые пользователь совершает из приложения: например, новых виртуальных предметах для игр или новых выпусках журналов, газет и комиксов в соответствующих приложениях. Бородин обнаружил уязвимость в шифровании протокола, который используется для подтверждения оплаты в системе, придумал способ "обманывать" систему и поделился им с интернетом. На минувшей неделе Apple распространила среди разработчиков приложений для iOS специальные инструкции, которые они могут применить в своих программах для того, чтобы устранить ошибку.
"После изучения изменений, которые Apple внесет в систему безопасности iOS, могу сказать, что игра закончена. Пока возможности обойти нововведения я не вижу. Это хорошая новость для всех: мы улучшили безопасность iOS, разработчики лучше защитили свои деньги", — написал Бородин в блоге.
По умолчанию новые изменения в системе безопасности iOS появятся осенью, когда выйдет новая версия системы — iOS 6. Хакер будет поддерживать сайт, на котором можно узнать, как работает открытый им способ, до появления новой операционной системы.
Он, однако, напомнил, что схожая уязвимость обнаружена и в магазине приложений для компьютеров Apple Mac, и она пока не закрыта.
"Мы ждем, что предложит Apple в этом случае, и у нас есть пара карт в рукаве. Хорошо, что Mac OS X столь открыта", — написал Бородин в блоге.
Техника Apple все чаще становится объектом пристального внимания как со стороны киберпреступников, так и со стороны независимых исследователей в области информационной безопасности.
В начале июля эксперты из российской антивирусной компании "Лаборатория Касперского" обнаружили в магазине App Store, который славится серьезной системой защиты от вредоносного ПО, приложение, которое без разрешения пользователя копировало на удаленный сервер его телефонную книгу и рассылало спам по всему контакт-листу. Также в конце мая эксперты из российской компании ElcomSoft, специализирующейся на разработке систем защиты и взлома паролей, обнаружили способ взлома облачного хранилища Apple iCloud, для реализации которого не требуется наличие iPhone или iPad, данные с которых синхронизируются с "облаком" Apple, нужно лишь знать уникальный идентификатор пользователя сервиса Apple ID и пароль от учетной записи. Необходимость поиска пароля от учетной записи пользователя — нетривиальная задача, но, кроме него, данные в iCloud не защищены шифрованием и могут стать легкой добычей для киберпреступников.
Apple App Store — один из крупнейших в мире магазинов приложений для мобильных устройств. В нем содержится более 650 тысяч программ для смартфонов iPhone, планшетов iPad и плееров iPod touch.