Chyba v iOS umožní bezplatné nákupy v aplikacích

Možnost obejití platebního mechanismu byla zveřejněna ve středu, rozšířila se ale během pátku. Popularita byla pravděpodobně větší, než čekali tvůrci této podloudné aplikace, protože falešné platební servery, které tuto funkci umožňují, selhaly pod náporem zájemců o bezplatná rozšíření.

Tvůrcem této aplikace je ruský hacker Alexej Borodin. Jeho aplikace vyžaduje několik zásahů do systému včetně vložení vlastních certifikátů a vytvoření falešného serveru DNS. Tato kombinace potom dokáže přesvědčit rozhraní systému iOS starající se o ověřování plateb, že platba byla provedena, i když ve skutečnosti k žádnému převodu peněz nedošlo.

Borodin tvrdí, že hacking je jeho koníček a že celou aplikaci vyvinul proto, aby si mohl bezplatně užívat hru CSR Racing. Ta je k dispozici zdarma, ale pokud si ji chce hráč opravdu užít, musí si dokupovat různá rozšíření a vylepšení a nakonec zaplatí tvůrci poměrně dost peněz.

Tato podloudná aplikace nefunguje pro všechny nákupy v aplikacích, pouze pro ty, které provádějí ověřování plateb přímo ve smartphonu nebo tabletu. Pokud aplikace využívá vlastní server, který komunikuje s platební bránou Applu mimo jednotlivá zařízení, podvržená potvrzení v ní nefungují.

Uživatelé, kteří by takto chtěli jednoduše získat rozšíření, by ale měli být opatrní. Kromě nástroje na falešné ověřování plateb si totiž mohou do svého přístroje dobrovolně nainstalovat trojského koně, kterého potom mohou hackeři zneužít k dalším nezákonným aktivitám. Falešný ověřovací server navíc nyní nefunguje.

Apple se k tomuto průniku prozatím nevyjádřil. Dá se ovšem předpokládat, že se bude snažit tuto chybu co nejrychleji opravit. Potom vydá novou verzi systému a vyzve uživatele k aktualizaci. Odborníky však nenapadá žádný jednoduchý způsob, jak tuto opravu nasadit do stávajících verzí iOS. Pokud tedy někdo bude chtít tuto slabinu zneužívat, postačí mu neaktualizovat na novou verzi operačního systému.

Další ochranou bude změna způsobu ověřování nákupů v aplikacích. To ovšem vyžaduje součinnost s tvůrci jednotlivých aplikací, což je běh na velmi dlouhou trať. Žádné jednoduché řešení tedy neexistuje a Applu nezbude než se s tím smířit. Tvůrci aplikací by ovšem měli své produkty co nejrychleji aktualizovat a upravit je tak, aby je tato chyba nepřipravovala o zdroj příjmů.