Um hack que permite aos usuários iOS enganarem App Store para fornecer a eles compras dentro de apps (in-app purchases) tornou-se público, podendo causar prejuízo para os desenvolvedores e dor de cabeça para a Apple.
A falha foi primeiramente vista na quarta-feira, 10/7, mas ficou ?famosa? na manhã de hoje, após ser noticiada por vários sites. Na verdade, o hack provou ser tão popular que o servidor por trás dele estava fora até o fechamento dessa reportagem por causa da forte demanda.)
O russo Alexey V. Borodin é o responsável pelo hack, que exige vários passos ? incluindo instalar certificados falsos no seu aparelho iOS, e usar um servidor DNS criado especialmente para isso. Esses ingredientes se combinam para levar os apps a acreditar que estão se comunicando com a App Store, quando na verdade eles estão indo para um servidor web que finge ser a loja da Apple.
Em entrevista para a Macworld dos EUA, Borodin disse que seu hack funciona em parte ao fingir ? ou ?enganar?- os recibos de código que a Apple utiliza para compras dentro de apps que os desenvolvedores usam para validação, com o aparelho iOS configurado para acreditar erroneamente que esses recibos estão vindo diretamente da Apple.
Falando com a Macworld por meio de mensagens instantâneas, o hacker afirmou que, como ?todo recibo dentro de app é genérico? e não contém nenhum dado direto do usuário, esses recibos eram ?fáceis de serem imitados?.
Mas por que ele quis fazer isso? ?É o meu hobby?, disse. ?E é um desafio para CSR Racing.? Esse é um game iOS com um modelo freemium. Apesar de o jogo ter o download gratuito, ele oferece uma variedade de compras dentro do app para destravar opções e recursos extras dentro do jogo. Borodin desaprova essa prática. ?Eu criei isso (o hack) por causa de desenvolvedores preguiçosos e gananciosos.. Estava muito nervoso em ver esse desenvolvedor do CSR Racing tirando dinheiro de cada respiro meu.?
Em entrevista para a CNET, a Apple afirmou que já está investigando o caso, mas não soube informar quando uma medida será tomada.