Ruský hacker Alexej Borodin přišel na způsob, jak tyto nákupy uvnitř aplikace uskutečnit zadarmo. Jak řekl serveru Macworld, udělal to jednak pro zábavu a jednak pro to, že ho štvali hamižní vývojáři, kteří zpoplatňují „každé nadechnutí“. Aby postup fungoval, musí se iProduktu podstrčit falešné certifikáty a falešný DNS server. Posléze služba, která se pro aplikaci tváří jako server App Store, padělá potvrzení o nákupech.
Podle Borodina nebylo systém těžké hacknout – Apple mu práci výrazně ulehčilo. Potvrzení, které App Store zasílá aplikaci, je generický paket a neobsahuje uživatelská data. Funguje to pouze pro aplikace, které nákupy ověřují skrz App Store a nikoliv přes vlastní webové služby, též aplikace fungující na bázi periodicky obnovujícího se poplatku by měly být v bezpečí. Jenže většina vývojářů se spoléhá na snadno dostupný existující způsob a vzhledem k tomu, že si Apple strká do kapsy 30 % vybrané částky, vývojáři očekávají, že systém bude dostatečně zabezpečen. Mají tedy důvod být naštvaní. Ne však na Borodina. „Tohle je celé chyba Apple,“ konstatuje vývojář iOS aplikací Marco Tabini.
A jak odhaluje Alexej Borodin, výše popsaná zranitelnost není jediný diletantský počin, kterého se programátoři Applu dopustili. Zjistil totiž, že uživatelovo Apple ID a heslo jsou posílány nezašifrovaně, jako prostý text. Podle svých slov tím byl šokován. Pro ty z vás bezpečností zcela nepolíbené, heslo posílané v plaintextu lze velice snadno odchytit programem, který sleduje provoz na síti, hojně používaný je např. Wireshark.
Marco Tabini se domnívá, že oprava bude vyžadovat aktualizaci iOS. Řada uživatelů se ale může rozhodnout ji neinstalovat a in-app purchases zadarmo si užívat dál. Borodinovy servery momentálně zřejmě v důsledku mediálního zájmu neběží, může být ale jen otázkou času, kdy se znovu rozběhnou; též může hacker zveřejnit své zdrojové kódy. Odvety od Applu se Borodin nicméně nebojí. Jak říká, je šťastným majitelem iPhone 4S a doufá, že ho Apple přijme jako programátora.
Zdroj: Macworld