เมื่อไม่กี่ชั่วโมงที่ผ่านมานี้มีนักพัฒนาชาวรัสเซียได้อัพโหลดวีดีโอที่เเสดงให้เห็นถึงวิธีการเจาะระบบการป้องกัน In App Purchase ได้เเบบฟรีจากที่ต้องเสียเงินตามที่นักพัฒนากำหนดไว้ โดยวิธีการใช้นั้นเรียกว่า ?In App Proxy? โดยทำการติดตั้ง CA (Certificate Authority) ใหม่เข้าไปเเละเปลี่ยน DNS ที่ระบุไปยัง App Store หลักนั้นเปลี่ยนค่าไปที่อื่นเเทน ซึ่งเมื่อทำตามขั้นตอนนี้เเล้วจะทำให้สามารถเเฮคหรือเปลี่ยนเเปลงเนื้อหาของ In App Purchase ที่เป็นของ Apple ตามปกติไปเป็นอย่างอื่นเเทน ซึ่งทำให้ข้ามขั้นตอนการตรวจสอบเเละหักเงินของ ถ้ามองตามรูปเเบบของการละเมิดลิขสิทธิ์ก็สามารถมองได้ เเต่วิธีการเเฮคนี้ทำให้เราสามารถรู้ได้ว่า iOS สามารถทำการเพิ่ม? App Store เข้าไปได้โดยไม่ต้องเจลเบรคนันเอง เช่น Cydia เป็นต้น
In App Purchase เเบบปกติ
In App Purchase เเบบเเก้ไขเเล้ว
ในขณะนี้ Apple ได้รับเเจ้งถึงช่องโหว่ดังกล่าวเเล้ว เเละอีกไม่นานคงมีตัวอัพเดทออกมาเเก้ตามอย่างเเน่นอน ในขณะที่นักพัฒนานั่นได้ระบุว่าการเเฮคครั้งนี้ ไม่ได้เป็นการ ?ขโมยเงิน? ของนักพัฒนาออกมา นั่นคือเงินที่นักพัฒนาได้รับมาเเล้วจากการขายของจะไม่หายไป อีกทั้งไม่มีการขโมยข้อมูลต่างๆ ของผู้ใช้ เเละอีกไม่นานจะมีการปล่อยซอร์สโคดของวิธีการทำดังกล่าวออกมาในเร็วๆ นี้ โดยเขากล่าวว่าโดยขั้นตอนที่เขาทำนั้นเป็นการ ?เเทน? App Store ของ Apple ด้วย in-appstore ของเขาเท่านั้น รายละเอียดของนักพัฒนานั้นได้กล่าวไว้ใน http://www.in-appstore.com/ ครับ
ที่มา : 9to5mac
