Aktualizováno 19. 7. 2012
Apple na chybu zareagoval a potvrzovací řetězec o zaplacení, který se bude ze serveru posílat, bude obsahovat unikátní identifikátor. Ten zajistí, že nebude možné podvrhnout informaci o falešném zaplacení, jak je tomu doposud. Oprava bude implementována až do nejbližší aktualizace iOS, takže do té doby by hack měl fungovat. Bez update iOS není technicky možné tuto chybu jinak opravit.
Původní informace z 16. 7. 2012
Ruský hacker Alexey V. Borodin přišel na způsob, jak obejít placení v aplikacích (tzv. in-app puchases). Vytvořil falešný ověřovací server, který změnou DNS záznamu ve vašem Wi-Fi routeru "podstrčíte" iPhonu nebo iPadu, tento server se pak bude tvářit jako ověřovací server společnosti Apple. Pak už jen stačí nainstalovat do vašeho zařízení dva falešné certifikáty (pro SSL komunikaci) a bezplatné nákupy v aplikacích mohou začít.
Hacker kritizuje slabé zabezpečení při těchto nákupech v aplikacích. Po uskutečnění nákupu dostane aplikace potvrzení o tom, že platba byla provedena a že daný nákup je validní. Toto potvrzení je však generické, čili stejné pro každou aplikaci. Jednoduše řečeno, aplikace se jen zeptá ověřovacího serveru, zdali daný nákup byl skutečně proveden a server odpoví "ano".
Apple v reakci na zveřejněný návod potvrdil, že se tím zabývá, bezpečnost dat je pro něj největší prioritou. Též samozřejmě nezapomínejme na to, že z každého nákupu má 30% provizi a pokud se tento hack rozšíří, přijde on i vývojáři o nemalé peníze. Borodin poznamenal, že impulsem pro zkoumání principu nákupů v aplikacích a hledání slabého místa byla nenasytnost vývojářů. Ti v poslední době vydávají hry, které se nákupy jen hemží a hráč musí platit a platit, aby ve hře mohl uspět.
Oprava bude téměř jistě znamenat aktualizaci iOS a úpravy principu ověřování těchto nákupů. To však nebude hned, navíc pokud zůstanete u starší verze iOS, budete moci tento hack stále využívat.
Server, na kterém byl tímto hackerem spuštěn falešný ověřovací software, byl zanedlouho po zveřejnění návodu přetížen a odstaven, v principu si ho ale může napsat kdokoli další, kdo umí programovat, stačí když zná princip, jakým způsobem lze ověřování obejít. Též je možné, že ho hacker přímo zveřejní a bude ho jednoduše moci použít téměř každý.
Dá se tedy předpokládat, že se co nevidět objeví několik podobných serverů, díky nimž bude možné placení v aplikacích obcházet. Změnu DNS v nastavení Wi-Fi routeru zvládne trochu šikovnější uživatel sám, stejně tak instalaci podvrženého certifikátu. Alexey Borodin ale v souvislosti s tímto ještě upozorňuje na to, že při této komunikaci mezi telefonem / tabletem a ověřovacím serverem se vaše uživatelské jméno a heslo přenáší v obyčejné textové podobě, takže může být v případě nekalého falešného ověřovacího serveru snadno zneužito.
Hacker Alexey Borodin v závěru svého rozhovoru pro magazín MacWorld podotknul, že se nebojí reakce Apple na svůj návod. Řekl: "Jsem šťastným uživatelem iPhone 4S ... Doufám že mě Apple zaměstná".
Zdroje: macworld.com, phonearena.com
