[UPD] Отечественный хакер нашел способ обхода внутриигровых покупок

Воровство — это очень плохо, независимо от того, что воруется: результаты физического труда или цифровой контент. Определенно точно можно сказать, что каждый из нас (пусть даже и не зная об этом) прослушивал нелегальную музыку и смотрел загруженные из Интернета фильмы. То же самое касается и приложений для iOS — многие делают джейлбрейк для того, чтобы тянуть с торрент-трекеров взломанные файлы игр и приложений. Мы в AppleInsider.ru категорически против любых проявлений воровства и никогда не публикуем на страницах сайта материалы, пропагандирующие воровство. Так же, как и многие наши коллеги, мы не одобряем загрузку и установку взломанных приложений. Однако каково же было наше удивление, когда на страницах сайта наших коллег мы обнаружили просто прямой призыв «Ломай-Воруй».

Воровать плохо.

Не будем затягивать и озвучим первое имя, наши читатели должны знать своих героев в лицо — сайт зовется Macdigger.ru и известен некоторой джейлбрейк-направленностью. Как известно, джейлбрейк и пиратство — понятия совершенно не взаимозаменяемые, и установка твиков, изменяющих внешний вид системы никак не связана с установкой ворованного контента. Нас привела в глубокое замешательство следующая публикация:

Стыд и срам

Если вкратце, то в данной статье рассказывается о том, что отечественный хакер Алексей Бородин нашел способ обхода финансовой стороны внутриигровых покупок в iOS-приложениях, то есть пользователь, используя данную инструкцию, может производить эти самые покупки сколько угодно раз, не платя за это ни копейки. Отнимая хлеб разработчиков, которые зарабатывают, напомню, разработкой приложений.

Нам очень любопытно, почему интернет-ресурс Apple-тематики решился на публикацию такого материала. Цепочка «Пользователь-Разработчик-Apple» отслеживается запросто, поэтому не понять то, что по сути как автор инструкции, так и автор публикации, отнимают хлеб у себя и возможность пользоваться качественным софтом у других. То есть и у вас, и у меня. Вряд ли кто-то из вас сейчас испытывает особенную радость от этого. Собственно, ради этого мы тут и собрались. Едем дальше.

Естественно, оставлять эту ситуацию такой, какая она есть сейчас, мы не намерены. И если публикация такого рода статей остается на совести нечистых на руку интернет-ресурсов, то мы в свою очередь обязаны сообщить об этом представителям компании Apple, дабы подобный аттракцион был закрыт. Письмо следующего содержания было направлено в российскую пресс-службу Apple:

Приветствую!

Меня зовут Илья Казаков, я являюсь представителем интернет-ресурса AppleInsider.ru.

От лица редакции хочу выразить нашу озабоченность материалами, которые содержатся на сайте [ссылка удалена], если быть точным, то именно следующим: [ссылка удалена].

В данном посте содержится инструкция обхода покупок внутри приложения без необходимости проводить процедуру джейлбрейка устройства. Редакция нашего сайта, будучи пользователями продукции Apple, категорически против распространения подобного материала (как, например, здесь [ссылка удалена]), и мы вместе с нашими читателями надеемся на ответные действия компании, направленные на борьбу с подобными методами взлома.

Так же мы бы хотели держать наших читателей в курсе принимаемых компанией Apple действий по данному вопросу.

Благодарим за внимание.

После этого мы связались с самим разработчиком сервиса и взяли у него небольшое интервью, в котором Алексей рассказал о том, как собственно эта система работает:

AI: Добрый день!

Алексей Бородин: Здравствуйте

AI: У меня есть пара вопросов касательно Вашего сервиса.

Алексей Бородин: Задавайте

AI: Не могли бы вы кратко объяснить принцип работы in-appstore.com?

Алексей Бородин: Cуть — в подмене части appstore. до подтверждения покупки юзверь взаимодействует с appstore, а потом в дело вступает то, что я придумал. Также это не просто прокси, это довольно-таки внушительная система с кешем подписанных ответов аппстора и статистикой «покупок».

AI: Как долго у Вас заняла реализация сервиса и откуда появилась подобная идея?

Алексей Бородин: C 4 по 12 июля, а идея — что меня сподвигло на такой шаг? Во-первых, просто грабительское приложение CSR Racing. Деньги просят отовсюду, играть невозможно. Ну не наглость ли? Вот так вот.

AI: Честно говоря, не заметил подобного в этом приложении, ну да ладно, не об этом сейчас. Насколько безопасно для обычного юзера использование сервиса? В плане, не утекают ли контакты, пароли и прочая личная информация в руки тех, кому такая информация принадлежать не должна?

Алексей Бородин: Пароль в незакодированном виде проходит через сервер, однако он не сохраняется и отправляется напрямую в appstore. Это конфиденциальные данные и их хранение и продажа — уголовно наказуемы. А вот по поводу in-app покупок я так не считаю, ибо вы же купили приложение в аппсторе (со всем его контентом)? Контент уже у вас, он куплен. Почему бы не открыть его за бесплатно? За читерство в Counter-Strike еще же никого не посадили. Из принадлежащих непосредственно вам инентификаторов сохраняется следующее:

  • restriction level of app
  • id of app
  • id of version
  • guid of your idevice
  • quantity of in-app purchase
  • offer name of in-app purchase
  • language you are using
  • identifier of application
  • version of application
  • your locale

И да, кстати, уже накатали жалобу на сервер, так что мы переезжаем в Голландию скорее всего

AI: Однако, читерство в Counter-Strike не подразумевает под собой кражу. Обход In-App Purchase — наоборот, является непосредственно кражей. В App Store приложение, содержащее In-App Purchase, зачастую распространяется значительно дешевле (иногда и бесплатно), чем приложения без внутриигровых покупок. Вас не беспокоит этическая сторона вопроса? Обход покупок по сути несет вред разработчикам, которые этим зарабатывают

Алексей Бородин: Ничто не мешает тем же разработчикам написать на сайте заявление, и мы просто отключим покупку через in-appstore.com. Скорее всего.

AI: А сами вы пользуетесь «крякнутыми» приложениями или все-таки покупаете их в App Store, если не секрет?

Алексей Бородин: Все мои приложения легально куплены в аппсторе. Я использую неджейленную IOS. Сподвигла меня на такой шаг откровенная наглость разработчика. Сами-то пробовали играть в CSR Racing? (кстати, неплохой им пиар). И да, хочу сказать, что in-App Store — только для легально купленных приложений.

AI: То есть со скачанными с торрентов играми сервис работать откажется?

Алексей Бородин: Ну, не откажется, я даже как-то не изучал. По идее Аpple должна бы проверять, куплено ли приложение, где хотят купить in-app, однако она этого не делает. Что же, тогда получается будет работать.

AI: Вас не заботит уголовная сторона вопроса? Ваш сервис по своей сути помогает пользователям совершать кражи, пусть и цифровые.

Алексей Бородин: А какие конкретно обвинения вы хотите мне предъявить?

AI: Обвинения — это не совсем правильно выбранное слово. Интересно ваше отношение именно к легальности такого сервиса. Я думаю, что не нужно объяснять, что те возможности, которые предлагаются сервисом, являются абсолютно нелегальными. Получается, что iOS-пользователи с вашей подачи получают легкую возможность воровать, если говорить прямо.

Алексей Бородин: Воровать что, то, что уже у них в руках и то, что они уже купили? Давайте возьмем ситуацию. Вы пришли в магазин и купили молоко. В закрытой бутылке. Пришли домой, а вам тут: «А заплатите еще доллар, чтобы ее открыть». Что вы сделаете?

AI: Согласитесь, что это не совсем верный пример. В таком случае нужно говорить примерно так: «Если вам понравилось молоко, то заплатите еще N рублей за новый пакет». Чаще всего freemium-игры распространяются бесплатно, разработчик дает возможность попробовать продукт, а если пользователю он нравится, то последний голосует за него рублем. Таким образом получается, что все довольны — пользователь попробовал бесплатно, а разработчик получил свои деньги за потраченное время и деньги. Ваш сервис, получается, последний пункт убирает полностью.

Алексей Бородин: Делайте сразу платные игры, или free и платные версии. Что я могу сказать.

AI: Хорошо, Алексей, спасибо Вам за потраченное время и интересную беседу. Однако, хочу Вас предупредить, что Ваши действия нарушают статью 273 УК РФ (Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для нейтрализации средств защиты компьютерной информации можно получить лишение свободы до 4 лет), поэтому от лица редакции AppleInsider.ru рекомендую Вам прекратить деятельность сервиса. Спасибо!

Алексей Бородин: Хорошо, я отдам свои наработки в другие руки.

——

От лица редакции призываем пользователей отказаться от использования подобных сервисов и в целом быть законопослушными гражданами. А нечистым трубочистам ресурсам, которые занимаются распространением такого рода информации — стыд, срам и наше коллективное «фи».

Update

Мы попросили знакомых разработчиков прокомментировать ситуацию с этим взломом и поделиться своим мнением про это. Их ответы мы будем выкладывать тут по мере поступления.

Алексей Гречко, СMO AppMania

Я не буду останавливаться на том, какой вред этот взлом принесет рядовым разработчикам (он достаточно очевиден), лучше посмотреть на шаг вперед.

Чем проще реализация взлома для конечного пользователя, тем большую популярность он завоюет. Поэтому если данный сервис выйдет в массы, то безусловно его ждет большая аудитория.

Но, скорее всего, стоит ожидать утечку персональных данных всех желающих попробовать халяву. И это не ID приложения, а логины и пароли к учетным записям.

В глобальном же плане на разработчиков это никак сильно не повлияет. Apple сделает все возможное, чтобы закрыть подобные дырки в ближайшем будущем.

Евгений Дорфман, Director of Mobile Technology, Postindustria

Я думаю, что разработчикам это принесет убытки, однако не драматические, так как этот взлом — капля в море. От него будет еще меньше убытков чем от jailbreak с разными способами установки пиратского ПО.

Отверстие будет открыто недолго — пару месяцев, до того как Apple все же найдет какой-то workaround. Хотя возможно потребуется больше времени, если необходимо будет обновлять клиентские библиотеки StoreKit.

А парню, который построил эту систему, я считаю, должны предложить работу в Apple немедленно 🙂

Update #2

Сегодня нам пришел ответ от пресс-службы Apple в России. Все в порядке, компания занимается решением возникшей проблемы.

Илья, здравствуйте!

Благодарим вас за письмо. Возможно вы уже видели публикации на тему, в данный момент проводится расследование со стороны Apple. Если возникнет необходимость, в текущих материалах вы можете использовать ссылку на следующую публикацию, где присутствует цитата Натали Харрисон, представителя Apple в Купертино:

https://www.latimes.com/business/technology/la-fi-tn-apple-investigating-in-app-purchases-20120713,0,111166.story

«The security of the App Store is incredibly important to us and the developer community,» said Natalie Harrison, an Apple spokeswoman. «We take reports of fraudulent activity very seriously, and we are investigating.»

С уважением,
Пресс-офис Apple в России