За последние 3-4 дня самой важной новостью в мире Apple стало то, что российский хакер Алексей Бородин нашёл способ обмануть онлайновый магазин App Store и совершать покупки внутри iOS-приложений совершенно бесплатно, причём без джейлбрейка. Конечно же, средства массовой информации ухватились за это событие, предрекая очередной апокалипсис системы безопасности Apple. Были разговоры об атаках с применением технологии "незаконный посредник" ("Man in the Middle"), о том, что стали доступны незашифрованные пароли. Но обо всём по порядку.
Первые сообщения об атаке начали появляться в среду на прошлой неделе. Метод Алексея Бородина использует фальшивые сертификаты и подложный DNS-сервер. Суть в том, что при оформлении заказа приложение направляется на подложный сервер, а не на официальный сервер Apple. Покупка оформляется на подложном сервере, приложение "считает", что определённая сумма со счёта пользователя списана и открывает доступ к контенту. На самом деле никакой суммы не списывается. Это классическая атака с применением технологии "незаконный посредник" ("Man in the Middle"), когда злоумышленник перехватывает канал связи, получая полный доступ к передаваемой информации. Получается, что сервер работает с фальшивыми кодами, которые разработчики используют для подтверждения оплаты покупки внутри iOS-приложений в App Store. По словам Бородина, сфальсифицировать эти коды очень просто, поскольку они являются универсальными и не содержат персональных пользовательских данных.
Чтобы вникнуть в ситуацию, надо знать, как протекает весь процесс. Когда пользователь совершает покупку внутри приложения, он получает некоторые данные, так называемый "Receipt". Приложение напрямую связывается с сервером Apple, чтобы проверить и подтвердить этот "Receipt". Apple предоставляет разработчикам два варианта проверки: это можно сделать либо на iOS-устройстве, либо на выделенном сервере, принадлежащем компании. В настоящий момент "взлом Бородина" возможен только в случае проверки "Receipts" на iOS-устройстве. Но российский хакер не хочет останавливаться на этом и дальнейшим шагом планирует взломать проверку через собственные серверы Apple.
Ответственность Apple
В настоящий момент Apple предоставляет разработчикам безопасный способ проверки только для части покупок, интегрированных в приложения. Многие разработчики могут "попасться" на проверке через iOS-устройства, ведь реализовать её гораздо проще. Метод проверки на iOS-устройствах ненадёжен, и в этом большая вина Apple. То, что у Apple есть и второй способ проверки, не освобождает компанию от ответственности.
Второй проблемой является то, что Apple ID и пароль передаётся простым текстом, в незашифрованном виде. Бородин предупреждает, что его метод не является безопасным, поскольку он может видеть Apple ID и пароль всех пользователей, кто применяет такой способ "обмана" приложений. Так происходит потому, что из-за фальшивых сертификатов iOS-устройство "считает", что общается с подлинным и защищённым сервером Apple. Опять же вина Apple в том, что она самоуверенно использует незашифрованные данные, полагаясь на безопасность своей системы.
Представитель Apple изданию "The Loop":
Безопасность App Store чрезвычайно важна для нас и для сообщества разработчиков. Мы со всей серьёзностью относимся к сообщениям о мошеннических операциях и проводим расследование.
Слабые места
Apple пока не смогла найти способ заблокировать лазейку. Вряд ли это будет очень сложно для такой компании, но какое-то время всё равно понадобится. Достаточно выпустить обновление iOS с усовершенствованным методом проверки "Receipts". Но это сработает только в том случае, если все пользователи установят обновление. Те, кто продолжит пользоваться старой версией iOS, смогут и дальше незаконно совершать покупки внутри iOS-приложений бесплатно. Конечно, разработчики сами могут перейти на более надёжный способ проверки с помощью веб-сервера, но это потребует от них больше усилий и дополнительных затрат. На данный момент необходим апдейт.
Моральная ответственность
Программное пиратство остаётся большой проблемой, даже если речь идёт о мобильных устройствах. Многие разработчики отказываются от Android-приложений, поскольку доля их воровства слишком высока. Apple же пока игнорирует эту проблему.
Все, кто решил воспользоваться методом Бородина, должны отдавать себе отчёт в том, какую информацию они раскрывают хакеру. Поскольку передаётся Apple ID и пароль, то открывается полный доступ к аккаунту iTunes со всей информацией, необходимой для совершения платежей. Если позднее выяснится, что у таких энтузиастов взломаны аккаунты iTunes и опустошены все счета, то вряд ли кто-то им посочувствует. По понятным причинам мы не даём ссылки на инструкции, которыми делится Алексей Бородин.
Конечно, можно по-разному относиться к модели "freemium" (бесплатный минимум), т.е. к приложениям, например, играм, которые вроде сами по себе бесплатны, но во время их дальнейшего использования приходится платить практически за любой контент, необходимый для нормального функционирования. Но у пользователя всегда есть выбор: не согласны с правилами, не покупайте! А какие ещё могут быть аргументы?!
Обновление:
В настоящий момент Apple принимает меры против совершённой атаки. Во-первых, компания попросила Google удалить с YouTube видеоролик, в котором Бородин рассказывал о том, как воспользоваться его методом. Во-вторых, Apple блокирует IP-адреса вычисленных подставных серверов.
Бородин, тем временем, собирается арендовать серверы за пределами России, чтобы продолжить начатую им деятельность. Эксперты предупреждают об опасности использования данного метода, поскольку передаются не только данные для "обмана" App Store, но и личные пользовательские данные в незашифрованном виде.