Stando a quanto riportato da The Next Web pare che Apple stia lavorando per bloccare l’exploit degli acquisti in-app scoperso nei giorni scorsi
Apple starebbe infatti cercando di adottare determinate pratiche per limitare l’impatto di un grave difetto nel sistema di acquisti in-app in grado di consentire agli utenti di scaricare gratuitamente contenuti normalmente a pagamento. Durante il fine settimana infatti Apple ha iniziato a bloccare l’indirizzo IP del server utilizzato dall’hacker russo Alexey V. Borodin necessario per autenticare gli acquisti; successivamente l’azienda di Cupertino ha inviato una richiesta di chiusura del server originale inabilitando contemporaneamente autenticazioni terze e rilasciando una rivendicazione di copyright sul video di Borodin usato per mostrare il processo per aggirare il meccanismo di Apple. Anche Paypal parrebbe esser stata coinvolta bloccando l’account originale per le donazioni dell’hacker a causa della violazione dei suoi termini di servizio.
Tutto questo è scaturito dopo che l’hacker in questione mostrò un metodo in grado di consentire a chiunque fosse in possesso di un dispositivo con iOS 3.0 o successivi di scaricare gratuitamente qualsiasi contenuto in-app, disponibile normalmente a pagamento – questo sistema poteva essere sfruttato anche senza eseguire il jailbreak del dispositivo. Inutile dire come questa procedura fosse completamente illegale.
Dopo l’iniziale scoperta Apple ha anche rilasciato un comunicato a The Loop per commentare la vicenda:
La sicurezza dell’App Store è estremamente importante per noi e per la comunità degli sviluppatori. Abbiamo preso atto dell’attività fraudolenta diffusa nella giornata di oggi, stiamo investigando.
Dopo aver premuto affinché l’host del server originale, localizzato in Russia, disabilitasse il servizio di Borodin, l’hacker ha migrato il proprio servizio su un nuovo server, collocandolo questa volta in una nazione offshore nel tentativo di aggirare le richieste legali dell’azienda californiana. Borodin ha fatto sapere inoltre di aver aggiornato il proprio servizio tagliando fuori i server di Apple, migliorando inoltre il protocollo così da includere processi di autorizzazione e transazione da lui creati. Anche il processo di signing è stato adattato per assicurarsi che gli utenti non possano usare il servizio di Borodin senza prima uscire dal proprio account di iTunes: “Gli utenti devono uscire dai propri account così da non poter gridare su Internet che io stia rubando le loro credenziali.”
Oltre naturalmente ad una questione di legalità il servizio di Borodin può rappresentare un vero e proprio pericolo anche per i dati stessi degli utenti, che in un primo momento dovevano essere necessariamente processati proprio dal server dell’hacker. Con i nuovi cambiamenti i dati dei dispositivi non dovrebbero essere più archiviati, ma vista la natura del servizio è assolutamente importante cercare di evitarlo a tutti i costi, per ragioni piuttosto ovvie, sia da un lato legale che etico.
Dalle nuove informazioni appare chiaro tuttavia come Apple stia lavorando attivamente per bloccare l’exploit ed il servizio di Borodin, per cui sicuramente nei prossimi giorni avremo notizie più dettagliate sullo stato della vicenda. Nel frattempo teniamo nuovamente a sottolineare come sia importantissimo evitare l’uso di questo servizio, assolutamente illegale.
[via]
