俄罗斯黑客阿列克谢·鲍罗丁(Alexey V. Borodin)最近宣布破解iOS设备“应用内购买”系统,目前苹果已经开始采取行动来减小影响,不过这名开发者的In-Appstore .com 在线服务目前仍可继续运行。
本周末苹果开始封锁这名黑客的服务器的IP地址,随后发出撤销服务器的请求,在 Borodin 发布的 YouTube 相关破解视频上发表版权声明。PayPal也被牵扯,因为违反服务条款,其原始捐款账号目前已被封闭。
破解原理:发现一种不需要越狱,即可绕过“应用内支付”以实现在免费应用中高级付费功能的方法。该方法利用了苹果iOS 3.0至6.0版本中的一个漏洞,主要步骤仅包括安装两个证书及简单修改DNS信息。通过这些修改,用户今后的所有“应用内支付”将会被转发至一个黑客服务器上进行处理(即无需真正付费)。
这个偷取内容的方法由Borodin发明,他创造了一个在线服务叫In-Appstore.com,而且他声称该服务已经处理了超过3万个应用内购买请求。
1. 苹果发言
App Store的安全对我们和开发团队来说是无比重要的,苹果官方代表哈里森表示,这明显会影响开发者的营收、打断游戏内内容的交易规则。我们会严厉处理该类欺诈活动,而且愿意砸钱解决!
2. 但是Borodin另出高招:通过把服务器移到新的服务器、避开了验证问题。
苹果有权向俄罗斯的原始服务器的主机施压,让他们关掉Borodin的服务器。不过据俄国黑客声称,新的服务器被建在离岸国家,准备用来避开苹果的法律制裁。而且“新服务已经更新,改善了漏洞的利用,新方法不再依赖App Store以完成授权过程,所以无法跟踪代理或缓存,这将使得苹果更加难以阻止他的破解。”由于Borodin采取了各种办法来突破苹果的“封锁”,所以目前其服务仍继续运行,而且他身后还有很多“追随者”在利用这个服务来免费下载内容。
