これはなかなか痛いです.....
なんとロシアのハッカー ZonD80 さんが、脱獄をすることなくiPhone
アプリのアプリ内課金を無料で購入出来てしまう脆弱性を見つけました。
しかもその手順が至って簡単なので、大問題になっています。
詳細は以下から................
さて、気になる手順ですが、Gigazine様にて紹介されているのでそちらを
ご覧ください。ちなみに今現在は使えないようです。
ハッカーがAppStoreアプリ内課金に「タダで買える」穴発見!購入殺到でサーバーダウン(動画) : ギズモード・ジャパン |
簡単に仕組みを説明すると、アプリ内課金はAppleの認証サーバーを介して
認証が行われ、それからダウンロード及び機能の解放が行われるわけなの
ですが、そこのAppleの認証を違うサーバーに飛ばして偽装してやると、
アプリ内課金が認証なし、即ち無料でできてしまうのです。
そのAppleのサーバーの偽装はDNSやらセキュリティ証明書やらでうまい
ことやってやるのですが、とにかく手順は簡単です。
その簡単さが響いて、ZonD80さんがその手順を公開した瞬間利用者が殺到
し、Appleのサーバーの擬装用に用意しておいたZonD80さんのサーバーが
なんとパンクしてしまいました。
だから今は一時的に使えなくなっているんです。
ですが、いつ同じ手法を用いた違うツールがリリースされるかわかりません。
Appleは今大急ぎで対策を練っているそうですが.....最悪の事態だけは避けて
いただきたいものです。
ちなみにこの手順を公開したZonD80さんは、逮捕されたくないからという
理由で、Appleには協力的な姿勢を見せています。
対策に協力してくれるということでしょうか?
まあ、協力するにしろしないにしろ、今回のことで多くの開発者に睨まれる
ことになってしまった事実は変わらないですよね.......
なんとか被害が最小限に収まることを祈っています。
というかこういうハッカーさんがAppleにいれば問題ないのにね........
In-Appstore.com - Free In-App purchases for every iDevice |
有料アプリを無料でダウンロードしちゃいけない・しない方がいい3つの理由 ~ Puti Developers Blog |
0 コメント:
コメントを投稿