แฮค MAC App Store ได้แล้ว

หลังจากที่แอปเปิ้ลได้แก้ไขช่องโหว่ใน iOS ที่ Alexey Borodin นักพัฒนาชาวรัสเซียแฮคระบบ in-app purchasing โดยไม่ต้องจ่ายเงินไปแล้ว ล่าสุดแฮคเกอร์คนนี้ก็ใช้วิธีเดียวกันในการแฮค in-app purchases บน Mac OS X บ้าง

การแฮคครั้งนี้สามารถทำได้บน OS X ตั้งแต่เวอร์ชั่น 10.7 ขึ้นไป (ส่วนเวอร์ชั่นเก่ากว่านั้นจะไม่รองรับ Mac App Store ค่ะ) ซึ่งวิธีการก็ไม่ยาก คล้ายกับการแฮค iOS ที่เคยทำมา สิ่งที่ต้องทำก็คือ ติดตั้ง system certificate, เปลี่ยนค่า DNS เพื่อนำไปยังเซิร์ฟเวอร์ของเขา และใช้แอพใหม่ที่มีชื่อว่า “Grim Receiper” ที่ทำขึ้นมาเพื่อแฮค Mac OS X และทำหน้าที่เก็บใบเสร็จสำหรับการนำมาใช้ใหม่ โดยพื้นฐานแล้ว Borodin ใช้ประโยชน์จากช่องโหว่ของ in-app purchases แทนที่จะจ่ายเงินซื้อจากเครื่องหรือบัญชีผู้ใช้โดยตรง แต่เค้ากลับใช้ใบเสร็จของ in-app purchase มาใช้ใหม่

เมื่อวานแอปเปิ้ลได้ออกมาประกาศแล้วว่าใน iOS 6 ได้ทำการแก้ไขให้การแฮคของ Borodin ใช้งานไม่ได้แล้ว รวมถึงเพิ่ม unique device IDs (UDIDs) ไปกับใบเสร็จของ in-app purchase ด้วย ซึ่งทางผู้พัฒนาจะต้องรับรองใบเสร็จ in-app purchase ก่อนที่จะส่งไปยังเซิร์ฟเวอร์ของแอปเปิ้ล

แอปเปิ้ลพยายามตัด Borodin ออกจากเซิร์ฟเวอร์ด้วยการใช้ IP address ของเค้าและกดดันให้ ISP ปิดเว็บไซต์ของเค้า แต่สุดท้าย Borodin ก็เปิดเว็บไซต์ขึ้นใหม่อีกครั้งด้วยการใช้ ISP ต่างประเทศและกำลังคิดหาวิธีการใหม่ๆในการแฮค in-app purchases โดยไม่ผ่าน App Store

VIA venturebeat