A segurança do sistema de in-app purchases da App Store foi quebrada. Um hacker russo descobriu um método de enganar apps de iPhone e iPad de modo que você consiga obter os itens vendidos dentro deles gratuitamente. É surpreendentemente fácil de configurar e dispensa jailbreaking e outras mágicas de hackeamento. Só é preciso seguir alguns passos em seu dispositivo iOS e a dica funcionará:

 

1. Instale dois certificados de segurança, que podem ser facilmente baixados de sites que proveem esse serviço.

2. Defina um novo DNS nas preferências de Internet do seu iPhone ou iPad.

3. Não tem terceiro passo.

Depois de fazer isso, você só precisa abrir um app de sua escolha (como o CSR Racing, mostrado no vídeo acima), ir até à lojinha dentro dele e “comprar” qualquer coisa sem gastar um centavo.

O servidor web que age como uma App Store falsa — é por isso que você tem que mudar o DNS — dará o sinal verde para o app e o fará acreditar que você está de fato comprando algum conteúdo. Assumindo que seja esse o caso, o app lhe concederá acesso ao conteúdo outrora bloqueado.

Brecha de segurança perigosa

A maioria dos jogos do iOS confiam em in-app purchases para conseguir dinheiro, então essa notícia é bem ruim para os desenvolvedores. É, também, uma grande falha de segurança para a Apple, que gosta de bradar aos quatro ventos o quão seguro e perfeito o ecossistema da App Store é.

Felizmente para a empresa, o site que oferece o serviço está sobrecarregado de pedidos neste momento e, por consequência, indisponível. Mas ZonD80, o cara que descobriu a falha e mantém o servidor, está trabalhando nisso:

“No momento nós temos [um servidor] com 512 MB de memória e não há como satisfazer a todos com um hardware desses. A Apple é uma grande empresa, eu não. Se você quiser, pode me ajudar a comprar um servidor quad-core realmente dedicado com pelo menos 4 GB de RAM.”

Ele diz que o novo servidor levará dois ou três dias para ser configurado.

Estou certo de que a Apple trabalhando para liberar uma atualização que corrija isso antes que o servidor comece a operar. Na mesma medida em que essa falha pode ser potencialmente boa para você, ela é muito pior para as finanças (e a reputação) de Cupertino. [YouTube via In-Appstore via 9to5mac]