Falha no iOS permite compras dentro dos aplicativos sem pagar

Hacker russo que seria responsável pelo bug diz que cobranças abusivas em game para iPhone motivaram ação.

Um hack que permite aos usuários iOS enganarem App Store para fornecer a eles compras dentro de apps (in-app purchases) tornou-se público, podendo causar prejuízo para os desenvolvedores e dor de cabeça para a Apple.


Falha no iOS permite compras dentro dos aplicativos sem pagar nada

A falha foi primeiramente vista na quarta-feira, 10/7, mas ficou ?famosa? na manhã de hoje, após ser noticiada por vários sites. Na verdade, o hack provou ser tão popular que o servidor por trás dele estava fora até o fechamento dessa reportagem por causa da forte demanda.)

O russo Alexey V. Borodin é o responsável pelo hack, que exige vários passos ? incluindo instalar certificados falsos no seu aparelho iOS, e usar um servidor DNS criado especialmente para isso. Esses ingredientes se combinam para levar os apps a acreditar que estão se comunicando com a App Store, quando na verdade eles estão indo para um servidor web que finge ser a loja da Apple.

Em entrevista para a Macworld dos EUA, Borodin disse que seu hack funciona em parte ao fingir ? ou ?enganar?- os recibos de código que a Apple utiliza para compras dentro de apps que os desenvolvedores usam para validação, com o aparelho iOS configurado para acreditar erroneamente que esses recibos estão vindo diretamente da Apple.

Falando com a Macworld por meio de mensagens instantâneas, o hacker afirmou que, como ?todo recibo dentro de app é genérico? e não contém nenhum dado direto do usuário, esses recibos eram ?fáceis de serem imitados?.

Mas por que ele quis fazer isso? ?É o meu hobby?, disse. ?E é um desafio para CSR Racing.? Esse é um game iOS com um modelo freemium. Apesar de o jogo ter o download gratuito, ele oferece uma variedade de compras dentro do app para destravar opções e recursos extras dentro do jogo. Borodin desaprova essa prática. ?Eu criei isso (o hack) por causa de desenvolvedores preguiçosos e gananciosos.. Estava muito nervoso em ver esse desenvolvedor do CSR Racing tirando dinheiro de cada respiro meu.?

Em entrevista para a CNET, a Apple afirmou que já está investigando o caso, mas não soube informar quando uma medida será tomada.

Fonte: Uol-idgnow