Falha no iOS permite compras grátis dentro dos aplicativos

Hacker russo que seria responsável pelo bug diz que cobranças abusivas em game para iPhone motivaram ação

idgnowpor Naiane Nascimento seg, 16/07/2012 - 14:00
Divulgação O russo Alexey V. Borodin afirmou que fez isso por hobby e explicou que é um desafio Divulgação

Um hack que permite aos usuários iOS enganarem App Store para fornecer a eles compras dentro de apps (in-app purchases) tornou-se público, podendo causar prejuízo para os desenvolvedores e dor de cabeça para a Apple.

A falha foi primeiramente vista na quarta-feira (10), mas ficou “famosa” na manhã de sábado (14), após ser noticiada por vários sites. Na verdade, o hack provou ser tão popular que o servidor por trás dele estava fora até o fechamento dessa reportagem por causa da forte demanda.

O russo Alexey V. Borodin é o responsável pelo hack, que exige vários passos – incluindo instalar certificados falsos no seu aparelho iOS, e usar um servidor DNS criado especialmente para isso. Esses ingredientes se combinam para levar os apps a acreditar que estão se comunicando com a App Store, quando na verdade eles estão indo para um servidor web que finge ser a loja da Apple. 

Em entrevista para a Macworld dos EUA, Borodin disse que seu hack funciona em parte ao fingir – ou “enganar”- os recibos de código que a Apple utiliza para compras dentro de apps que os desenvolvedores usam para  validação, com o aparelho iOS configurado para acreditar erroneamente que esses recibos estão vindo diretamente da Apple.

Falando com a Macworld por meio de mensagens instantâneas, o hacker afirmou que, como “todo recibo dentro de app é genérico” e não contém nenhum dado direto do usuário, esses recibos eram “fáceis de serem imitados”.

Mas por que ele quis fazer isso? “É o meu hobby”, disse. “E é um desafio para CSR Racing.” Esse é um game iOS com um modelo freemium. Apesar de o jogo ter o download gratuito, ele oferece uma variedade de compras dentro do app para destravar opções e recursos extras dentro do jogo. Borodin desaprova essa prática. “Eu criei isso (o hack) por causa de desenvolvedores preguiçosos e gananciosos.. Estava muito nervoso em ver esse desenvolvedor do CSR Racing tirando dinheiro de cada respiro meu.”

Em entrevista para a CNET, a Apple afirmou que já está investigando o caso, mas não soube informar quando uma medida será tomada.

 

COMENTÁRIOS dos leitores