Oligur

• ニュース

ロシアのハッカー、アレクセイ・ボロディンが今週明らかにしたアプリ内購入の脆弱性を修正したAppleですが、またしてもハッカーが悪用しているようです。ただし今回は、Mac App Storeで動作するアプリ内購入のハッキングです。

ここでの手法は、ボロディン氏がiOSで使用した手法と似ています。ユーザーは偽のセキュリティ証明書をインストールし、MacのDNSサーバーをボロディン氏が運営する偽のサーバーに誘導します。すると、リモートサーバーは実際のMac Storeを装い、購入を検証します。これにより、Appleが構築し、Macアプリ開発者が利用するアプリ内購入のための実際のシステムを回避します。ボロディン氏によると、このシステムによってこれまでに約840万件の無償購入が可能になったとのことです。

これはAppleにとって新たな痛手となる。Appleは本日、iOS開発者がiOS 5アプリに一時的な修正を適用することで、iOSハックによるアプリ内課金の盗難を阻止できると発表しており、iOS 6向けにはより永続的な修正が近日中に提供される予定だ。AppleはMec OS Xエクスプロイトに対しても同様の修正を開発し、おそらくは次期OS X Mountain Lion（10.8）リリースに組み込むだろうと推測される。

確かに、iOSアプリはOS Xアプリよりもアプリ内課金に依存する傾向がありますが、たとえ小規模であっても、アプリ内課金を盗むことは窃盗です。確実な修正プログラムを作成するために必要な期間を超えて、このような脆弱性を放置することは、Appleにとって痛手となるだけです。

ボロディン氏がなぜこのようなことをするのかは不明だ。技術的な挑戦やAppleとの駆け引きを楽しんでいるのか、それともアプリ内課金システムそのものに抗議しているのか。現時点で言えることは、このような行為には手を出さないことだけだ。Appleの収益を奪うだけでなく、Appleほどの資金力を持つ開発者も奪うことになるからだ。

出典: The Next Web