История со взломом in-app purchase в App Store получила вполне закономерное продолжение. Хакер Алексей Бородин, автор метода реверс-инжиниринга механизма оформления покупок внутри приложений iOS, с сожалением сообщил, что в Apple занялись обновлением API, связанных с in-app-покупками, в связи с чем в iOS 6 нынешний метод получения контента на халяву уже не сработает.

Правда, вопросов по-прежнему намного больше, чем ответов на них:

  • почему Apple не может включить обновлённый механизм проверки легальности ин-аппов во внеочередное обновление прошивки, выпустив iOS 5.1.2 прямо сейчас?
  • если первый вариант невозможен (что вполне вероятно), почему нельзя выпустить обновлённый Xcode для того, чтобы разработчики уже сейчас могли исправить уязвимость в своих приложениях?
  • какие API обновила Apple, если бета-прошивки и Xcode для разработчиков не выпускались?

Кстати, Бородин наверняка мог бы заработать на своём таланте, если бы продал код найденной уязвимости в Apple, а не пытался нажиться на пожертвования, о которых он просит в своём блоге.

Поделитесь страницей через социальные сети

  • Евгений

    Разработчики уже могут защитить свои приложения, не надо ждать апдейта iOS. Несколько дней назад Apple разослала инструкцию по усилению безопасности приложения для ленивых: http://developer.apple.com/library/ios/#releasenotes/StoreKit/IAP_ReceiptValidation/_index.html Она содержит и исходники которые не сложно прикрутить к имеющимся проектам для валидации receipt ответов на серверах Apple. А ленивыми разработчиков я называю потому что проблема халявной активации фич на джейл девайсах есть уже давно и многие решили её валидацией receipt на своем сервере, как и описано в документации.

    • http://appstudio.org AppStudio

      вроде как этот способ тоже можно при желании взломать через подмену DNS и сертификатов

      • Евгений

        Любую защиту можно взломать. Другое дело, что если защита приложения не ломается универсальной ломалкой 90% вероятность, что ломать специально это приложение не будут. Ну и ответ от своего сервера можно хитро закодировать в зависимости от фазы луны и добавить прочего фана. Чтобы хакерам жизнь легкой не казалась. :)

  • ya

    Как то уж больно язвительно Вы написали про хакера. Читал интервью с ним, он ничуть не сожалеет о том, что дыру залатали. Вообще довольно странная политика у Вашего сайта! Взлом приложений вы не одобряете, ссылки на пиратские программы не распространяете, но при этом всячески поддерживаете джейлбрейк и анлок! Двойные стандарты у Вас!!!

    • http://appstudio.org AppStudio

      ну не надо снова разводить срач про легальность джейлбрейка и анлока. вы вольны делать со своим гаджетом всё, что угодно, если это не нарушает прав никаких других субъектов. организация доступа к файловой системе или разблокировка вашего айфона, который уже свободен от контракта — как раз такие случаи.
      что касается взлома приложений — это лишение разработчиков положенных им за их труд денег

      • ya

        А скачивание приложений с торрентов и заливка их на джелбрейкнутые девайсы — это не лишение разработчиков денег?

        • http://appstudio.org AppStudio

          программы с торрентов можно заливать и на неджейлбрейкнутые девайсы. причём же тут джейл?

          • ya

            Знаю только про способ установки пиратский приложений с использованием сертификата разработчика, за него нужно заплатить! Джейлбрейк же позволяет абсолютно бесплатно устанавливать приложения! Или есть другой способ бесплатно устанавливать приложения на девайс без джейлбрейка?

  • http://appstudio.org AppStudio

    как будто если вы платно устанавливаете пиратские приложения на свой гаджет, то это не пиратство?)

    джейл — инструмент для полного доступа к системе. а для чего вы будете использовать этот инструмент — зависит уже от вашей совести. кто-то будет твики ставить, а кто-то первым делом пойдёт appsync качать. именно поэтому джейл не равен пиратству. я уже доказал вам, что пиратство на iOS возможно и без джейла: и через подписывание сертификатами, и через общий аккаунт.

    • evgeniy

      Общий Аккаунт скорее обход, а не пиратство. Получаешь же не бесплатно или как говорят не нахаляву.