Множество наших читателей по почте спрашивают «а почему вы не пишете про in-appstore?», «такая тема, а вы молчите!», «не тормозите, расскажите об этом, пока не закрыли лазейку» и пр. Представьте себя на нашем месте — у нас в App Store есть бесплатная программа Sports Counter, в которой полная версия разблокируется как раз через In-App Purchase. Публиковать инструкцию по взлому In-App на нашем же сайте было бы полнейшим маразмом. В отличие от большинства других Apple-сайтов рунета, мы — одновременно разработчики и обозреватели приложений, поэтому для нас вопросы пиратства особенно актуальны.

Но упомянуть об этом  in-appstore всё-таки стоит, хотя и в другом контексте. В Apple наконец-то начали предпринимать шаги по борьбе с этим способом обхода покупок In-App Purchase.

А началась история несколько дней назад.

Некто Алексей Бородин, талантливый отечественный хакер, организовал реверс-инжиниринг процедуры оформления In-App Purchase в App Store. В результате он смог создать собственный сервер, который имитирует поведение серверов App Store и выдаёт в ответ на запросы приложений специальные receipt-коды, аналогичные тем, что выписывает настоящий App Store. На основании проверки этого кода приложение начинает полагать, что In-App-покупка была оформлена по-честному и разблокирует контент. Перенаправление iOS-приложений на левый сервер вместо App Store происходит за счёт установки пары сертификатов и правки DNS в настройках системы.

Сам Бородин утверждает, что затеял всё это с конкретной целью — мол, его бесит политика разработчиков игры CSR Racing в отношении оплаты контента, из-за которой якобы не получается нормально поиграть. Хакер подчёркивает, что его способ — только для честно купленных приложений. А разработчикам, которых его проект лишает выручки, Бородин предлагает выпускать Free- и Lite-версии программ отдельно. В общем, позиция своеобразная, но под статью УК РФ она всё равно подпадает.

В Apple быстро отметились пресс-релизом в стиле «для компании безопасность — наиважнейший приоритет, поэтому мы делаем всё возможное…», но к реальным действиям перешли попозже:

  • во-первых, по инициативе Apple один за другим блокируются хостинги, на которые переезжает сайт проекта in-appstore
  • во-вторых, была проведена массовая зачистка видеохостингов от роликов о применении in-appstore
  • в-третьих, Apple блокирует аккаунты App Store, которые подозреваются в использовании обхода покупок (правда, отдельный вопрос — как они наверняка определяют, кто этим пользовался)
  • наконец, с сегодняшнего дня поменялся формат receipt-кода App Store, туда добавилась дополнительная информация, в частности, идентификатор UDID устройства. Правда, опять-таки не ясно, поможет ли это разработчикам, если пару месяцев назад в Apple заявили, что никакие программы не имеют права отслеживать UDID. В любом случае, чтобы приложения могли дополнительно проверять легальность In-App Purchase, разработчикам нужно будет их модифицировать, а это задача не из быстрых

Пока что количество нелегальных скачиваний через in-appstore перешло отметку в 30000 и не собирается останавливаться. Посмотрим, какие ещё шаги предпримет Apple для борьбы с этой проблемой.

Поделитесь страницей через социальные сети

  • Евгений

    Приложениям достаточно начать валидировать in-app receipt через свой сервис, чтобы универсальные in-app ломалки в них не работали. Т.к. надо будет обходить защиту каждого приложения в отдельности. Хотя пока большинство разработчиков надеется на честных пользователей и защищенность платформы iOS.

    • http://appstudio.org AppStudio

      и мы о том же — пока каждый разработчик не внедрит в свой софт дополнительную защиту, эта дыра будет работать. а значит, это всё всерьёз и надолго

  • TiaN

    Сам, всегда покупаю приложения, потому что цена в среднем за игру 30 рублей, не такая уж и большая, больше заморочек из-за них, но как и Алексей Бородин играю в эту же игру, и тоже не раз подумывал чтобы сделать что-то подобное.

    • untiground

      +300, игра просто вскрывает мозг количеством выманивания денег.

      ладно для меня это фигня, пол часика полётать. но я представляю 15и летних пареньков, всё карманные же сольют.

      • http://appstudio.org AppStudio

        а вариант «не играть в такую дурацкую игру» никто не рассматривает?)