Segundo o jovem russo, para adquirir os produtos sem pagar nada, bastava ao proprietário de um iPhone ou iPad instalar certificados especiais em seu aparelho e mudar o ajuste da conexão Wi-Fi. Foto: GettyImages
O modo de driblar a restrição de acesso na compra de produtos virtuais na AppStore foi descoberto por Aleksêi Borodin, jovem russo de 21 anos de idade.
Na semana passada, Borodin colocou no YouTube um vídeo explicativo para acessar o conteúdo gratuitamente, e o sistema baseado na falha ainda está funcionando.
Segundo o jovem russo, para adquirir os produtos sem pagar nada, bastava ao proprietário de um iPhone ou iPad instalar certificados especiais em seu aparelho e mudar o ajuste da conexão Wi-Fi.
Na hora da compra, uma requisição é enviada à loja da Apple na internet, que gera um certificado de compra, redirecionado para verificação no servidor do desenvolvedor.
“No servidor, os dados são confirmados e retornados à AppStore. Nesse momento, a compra é aprovada e o produto, baixado”, explica o diretor do Centro de Pesquisas de Vírus da empresa Eset, Aleksandr Matrossov.
Segundo ele, Borodin descobriu que os dados trocados entre os servidores da AppStore e do desenvolvedor eram transmitidos em formato não protegido e, portanto, podiam ser alterados.
Falha epidêmica
No Ocidente, a falha foi reconhecido pelos consumidores depois que da divulgação da notícia no site “9to5Mac.com”. A essa altura, contudo, os usuários já tinham feito mais de 30 mil compras de graça, segundo declaração de Borodin ao “The Next Web”.
O jovem diz ter criado um modo de driblar o sistema de pagamento porque estava insatisfeito com a obrigação de comprar itens virtuais imposta aos usuários pelos desenvolvedores do jogo CSR Racing.
Borodin disse ao jornal russo “Vedomosti” que não considera esse recurso ilegal. “As compras de itens internos não são objeto de direitos digitais”.
A Аpple está investigando a falha no sistema de compras in-app, informou Natallie Harrison, representante da empresa, ao jornal “Los Angeles Times”. “A segurança na AppStore é extremamente importante para nós e para a associação dos desenvolvedores”, completou.
Borodin também garantiu que, embora não tenha sido procurado pelos representantes da Apple, recebeu mensagens de alguns desenvolvedores dos aplicativos.
“Alguns estão dizendo que sou um ladrão, outros ficam admirados e me oferecem trabalho”, contou. O jovem afirmou que não sabe quantas vezes usaram seu sistema, pois interrompeu a estatística ainda na sexta-feira, 13.
Legítima defesa
O desenvolvedor do jogo Cut The Rope, da ZertoLab, descobriu, por conta própria, um meio de bloquear a distribuição gratuita dos artefatos.
De acordo o diretor-geral da ZertoLab, Mikhail Lialin, a técnica foi usada por usuários particulares, e a empresa não vê sentido em privar dos itens gratuitos quem fez a aquisição através do servidor de Borodin.
Essa falha não atingiu os populares jogos da russa Game Insight, que ganha justamente com a venda dos itens virtuais, alegra-se a fundadora da empresa, Alissa Tchumatchenko.
“A interceptação dos dados do sistema foi possível, principalmente, porque a Apple não codifica os dados dos usuários nas compras de itens internos”, explica o representante da empresa de antivírus Doctor Web, Kirill Leonov.
“Para aumentar a segurança, a Apple devia bloquear também algumas alterações do ajuste de acesso à internet”, destaca Leonov.
Leia o texto integral na página do Vedemosti
Todos os direitos reservados por Rossiyskaya Gazeta.
Assine
a nossa newsletter!
Receba em seu e-mail as principais notícias da Rússia na newsletter:
