マイキー・キャンベル
· 1分で読めます
iOSのアプリ内購入の回避策を考案したロシア人ハッカーによって発見され実装された、いわゆる「OS X用In-Appstore」は、同様のレシート偽装手法を使用してAppleの検証システムを回避し、有料コンテンツを無料で入手しているとThe Next Webは報じている。
Alexey Borodin の最新のエクスプロイトは、以前のレポートで概説されたものと同じ DNS サーバー ルーティングと領収書偽装手法を使用して、アプリを騙して疑わしいアプリ内購入を承認させます。
このシステムでは、ユーザーはMacにローカル証明書をインストールし、ボロディン氏がホストする特別に作成されたDNSサーバーに購入情報をルーティングする必要があります。このサーバーはMac App Storeのレプリカとして設定されており、偽造されたレシート検証を送信します。
Borodin の「OS X 用 Appstore 内」エクスプロイトの実行中のスクリーンショット。| 出典: The Next Web
ボロディン氏によれば、彼のなりすまし手法によって846万件以上の取引が行われたというが、この数字にOS Xをターゲットにした新しいシステムが含まれているかどうかは不明だ。Appleにはソフトウェア・アップデートを通じて修正プログラムを公開する選択肢があり、Macメーカーは7月下旬に、Gatekeeperセキュリティシステムを含む多数のセキュリティプロトコルを搭載した新しいOS X Mountain Lionをリリースする予定だ。
OS X アプリのハッキングが公開されたその日に、Apple は iOS アプリ開発者に対し、iOS 6 で予想される恒久的な解決策に先立ち、同社の新しい保護されたレシート検証システムを使用して先週のアプリ内購入の脆弱性を阻止するよう呼びかけるメールを送信した。
