Apple kontra rosyjski haker

Nie milkną jeszcze echa po tym jak się okazało, że rosyjski haker znalazł sposób na darmowe płatności wewnątrz aplikacji dla systemu iOS, a już planuje to samo dla OS X. Alexei Borodin – tak nazywa się haker – planuje użyć tej samej metody jak w przypadku mobilnego systemu. Mimo że systemy bezpieczeństwa Apple są uważane za bardzo dobre, jest sposób (okazuje się, że bardzo prosty) żeby je obejść – wystarczy podszyć się pod certyfikaty Apple. Cała ta operacja powoduje, że użytkownik może pobierać materiały Premium z AppStore nie uiszczając żadnej opłaty.

Ów hack polega na pobraniu dwóch lokalnych certyfikatów, ustawieniu DNS urządzenia na serwer hakera, który udaje AppStore i pozwala na zakup. Można powiedzieć, że Apple poległ po raz kolejny udając, że wszystko jest OK, jeżeli weźmiemy pod uwagę ilość dokonanych tym sposobem transakcji. Jak podaje haker wykonano około 8,5 miliona darmowych zakupów.

Kilkanaście godzin temu Apple zareagowało i przedstawiło deweloperom metodę, która pozwoli na szyfrowanie i weryfikację cyfrowych certyfikatów używając dwóch wcześniej nieoficjalnych API.

Apple musi mieć świadomość, że każdy dzień zwłoki powoduje straty deweloperów, którzy wiedząc, że ich pracę można tak łatwo ukraść, mogą zablokować transakcje wewnątrz aplikacji. Będzie to uderzenie w ekosystemu Apple, ale też narazi ich na stratę dobrego wizerunku, jako firmy, która szczególnie dba o bezpieczeństwo.