マイキー・キャンベル
· 1分で読めます
アレクセイ・ボロディン氏は月曜日、自身のウェブサイトに「これですべて終わり…今のところは」と題したブログ記事を投稿し、7月初めに公表された収益窃盗の脆弱性に対する緊急修正としてAppleが先週末に導入した新しいAPIを回避する方法はないと述べたとThe Mac Observerが報じている。
この脆弱性は、デジタルレシートを偽装する特殊なDNSサーバーを経由して不正な購入を認証するものであり、約1週間前に初めて公表されました。Appleはこれに対し、ボロディン氏の回避策に関連するIPアドレスをブロックし、疑わしいレシート認証をホストするDNSサーバーのシャットダウンを試みました。
iPhone メーカーは数日後、この穴を塞ぐ一時的な解決策を発表し、次期 iOS 6 モバイル オペレーティング システムでは恒久的な修正が行われる予定であると発表した。
Borodin の iOS アプリ内購入回避策の実際のスクリーンショット。
ボロディンの月曜日のブログ投稿より:
こんにちは、みんな。iOS 6のアプリ内購入に関するAppleの最新の声明を検証した結果、現状ではゲームオーバーと言えるでしょう。現状では、更新されたAPIを回避する方法はありません。これは皆様にとって朗報です。iOSのセキュリティは更新され、開発者はエアマネーを手に入れることができました。
ただし、iOS 6 がリリースされるまではサービスは継続されます。
もう一つは、OS XのApp Store内機能についてです。Appleの反応はまだ待っていますが、いくつか手持ちのカードがあります。OS Xがオープンなのは良いことです。
Appleのソリューションは、「ユニークID」を持つレシートを利用してアプリ内購入を検証します。以前のシステムは、特定のユーザーデータが添付されていない汎用的なレシートを生成するだけだったため、検証結果の偽装が容易でした。どのような種類のユニークIDが使用されているかは不明ですが、UDIDデータに基づく独自のシステムではないかとの憶測もあります。
先週金曜日にセキュリティ変更に関するメールが発行され、開発者に対し、特別なサポートページに記載されている必要な予防措置を講じるよう要請されました。この修正の一環として、コンテンツ制作者には、Appleの新システムでアプリ内購入を検証することを目的として、2つのAppleの非公開APIへのアクセスが許可されました。
最近、ボロディンはアプリ内購入の回避策を作成した。
