Oligur

• ニュース

Appleは、ユーザーがiOSのアプリ内購入を回避してコンテンツを無料で入手できるロシアのサーバーをブロックする取り組みを進めています。報道によると、クパチーノに本社を置く同社は、週末にかけて特定のIPアドレスのブロックを開始し、サーバー1台を停止させました。しかし、Appleの努力にもかかわらず、サービスは引き続き機能しています。

ロシアのハッカー、アレクセイ・V・ボロディン氏によって発見されたこの脆弱性により、iOSユーザーはゲーム内通貨や追加コンテンツを含むあらゆる種類のアプリ内課金を無料で入手することが可能になりました。ボロディン氏の手法はほぼ誰でも利用可能であり、開発者にはこれを防ぐ手段がありませんでした。

ボロディン容疑者は詐欺を容易にするためにIn-AppStore.comというウェブサイトを立ち上げ、すでに3万件以上の支払いリクエストを処理したことをThe Next Webに明かした。

しかし、Appleは現在、ボロディン氏のエクスプロイトをブロックしようとしています。同氏のサーバーをブロックする前に、Appleは元のサーバーに削除要請を出しており、これはロシアにあるホストによって削除されました。しかしその後、ボロディン氏はAppleのブロックを回避するため、別の国に新たなサーバーを設置しました。

ボロディン氏によると、新サービスはアップデートされ、Appleのサーバーを介さずに独自の認証およびトランザクション処理をプロトコルに組み込むように「改善」されたという。「この新しい方法ではApp Storeにアクセスできなくなり、今後アクセスできなくなるため、プロキシ（またはキャッシュ）機能は無効化されました」。

ボロディン氏はまた、ユーザーのデータを盗んだと非難されないように、サービスを使用する前にユーザーにiTunesアカウントからサインアウトするよう強制するプロセスを変更した。

Appleはボロディン氏のオリジナルデモ動画をYouTubeでブロックし、PayPalは同氏のアカウントへの寄付をすべてブロックしました。しかし、ハッカーは諦めるつもりはなく、The Next Webが指摘しているように、当初は単純なセキュリティ上の脆弱性を突く攻撃だったものが、今ではAppleとボロディン氏の間でいたちごっこの様相を呈しています。しかし興味深いのは、ボロディン氏がAppleから直接連絡を受けていないと主張していることです。

言うまでもなく、ボロディン氏のエクスプロイトは、iOS開発者が通常アプリ内購入で得るはずの収益を奪うものであり、有料アプリを盗むのと同等です。そのため、このサービスは避けることをお勧めします。

出典: The Next Web