Un hacker russo nell'AppStore

Violato da un hacker russo l'Apple AppStore (Foto: Getty Images / Fotobank)

Violato da un hacker russo l'Apple AppStore (Foto: Getty Images / Fotobank)

Un programmatore della Federazione ha trovato la chiave per scaricare gratuitamente agli aggiornamenti dei giochi più popolari

Un programmatore russo è riuscito a trovare un modo per scardinare i meccanismi di blindatura messi in campo dalla Apple per gli acquisti in-app sull’AppStore. Il sistema permetterebbe a chiunque di effettuare acquisti nel negozio virtuale a costo zero. La Apple è al lavoro per cercare di bloccare l’exploit degli acquisti in-app, ma non è ancora riuscita nel suo intento.

Il responsabile della trovata è il ventunenne russo, Alexei Borodin. Il giovane aveva pubblicato un video su YouTube con tutte le informazioni, ma la falla del sistema non è ancora stata arginata. Gli sviluppatori di applicazioni per smartphone e Pc tablet a volte vendono agli utenti dei prodotti virtuali (come ad esempio, contenuti per i giochi). Borodin ha ideato un sistema che permette di ottenere questi prodotti gratuitamente. Per fare ciò, il proprietario di un iPhone o di un iPad deve installare sul proprio dispositivo un paio di certificati speciali e cambiare le impostazioni della connessione Wi-Fi. Dopodiché è in grado acquistare l'oggetto gratuitamente e senza dover forzare il proprio iPhone o iPad.

Durante un acquisto in-app, un’applicazione invia la richiesta al negozio online di Apple - l’AppStore - che genera una prova d'acquisto che viene inviata al server dello sviluppatore per la verifica. Dopo tale verifica, i dati vengono rinviati di nuovo all’AppStore, dove l'acquisto e il download del prodotto vengono approvati dal server dello sviluppatore, spiega Aleksandr Matrosov, direttore di Eset, società di ricerche sui virus. Secondo l’esperto, Borodin è riuscito a scoprire che i dati che si scambiano il server dell’AppStore e quello dello sviluppatore vengono trasmessi senza alcun tipo di protezione e pertanto possono essere facilmente contraffatti.

In Occidente la notizia dell’hacking è stata diffusa dal popolare sito 9to5Mac. Da allora, grazie al sistema ideato dal pirata informatico russo, sono stati effettuati più di 30 mila acquisti gratuiti, ha rivelato lo stesso Borodin sul blog The Next Web. Il giovane sostiene di aver studiato il sistema perché non condivideva che gli sviluppatori del gioco CSR Racing costringessero letteralmente gli utenti ad acquistare i prodotti virtuali. 

La Apple sta già indagando sulle segnalazioni dell’attività fraudolenta, ha dichiarato Natalie Harrison, portavoce della società, al quotidiano Los Angeles Times. "La sicurezza dell’AppStore è estremamente importante per noi e per la comunità degli sviluppatori", ha ricordato la Harrison.

Ciononostante l’exploit di acquisti in-app era ancora in atto. Borodin ha dichiarato al quotidiano Vedomosti che ritiene l’hack del tutto legale: "Gli acquisti in-app non sono soggetti a licenza". "Pagate per nulla; potete installare il gioco Cut the Rope, acquistare contenuti per 200 dollari, poi rimuoverlo e installarlo nuovamente, e non avrete più nulla. E lo sviluppatore non risponde di questo", dichiara oltraggiato Borodin. Il giovane ha inoltre precisato che i rappresentanti della Apple non si sono ancora rivolti a lui. Lo hanno fatto, però, gli sviluppatori delle applicazioni per l’AppStore, dice sorridendo Borodin. "Alcuni scrivono che sono un ladro, altri mi ammirano e mi avanzano proposte di lavoro", afferma il giovane, che dichiara di non sapere quante volte è stato usato il suo hack.

La società Zeptolab, sviluppatrice del gioco Cut The Rope, ha trovato da sola un modo per bloccare la distribuzione gratuita dei contenuti virtuali, ha dichiarato, al quotidiano Vedomosti, Michail Ljalin, direttore generale di Zeptolab. Secondo le sue stime, sono pochi gli utenti che hanno approfittato dell’hack, quindi la società non ha motivo di ritirare le componenti gratuite a quanti le hanno ottenute attraverso il trucco di Borodin. L’hack non ha colpito i popolari giochi della russa Game Insight, che guadagna proprio sulla vendita di oggetti virtuali, dichiara soddisfatta Alisa Chumachenko, fondatrice del gruppo.

Borodin è riuscito nel suo intento innanzitutto perché la Apple non crittografa i dati utente nel caso degli acquisti in-app, spiega Kirill Leonov, rappresentante della società di antivirus "Doctor Web". Per migliorare il proprio sistema di sicurezza, la Apple potrebbe rendere private alcune modifiche di configurazione per l’accesso a Internet, sostiene l’esperto. Secondo Leonev, l’hack di Borodin è il primo in tutta la storia dell’AppStore, ma ha interessato un numero relativamente limitato di applicazioni.

Per leggere la versione integrale cliccare qui

Tutti i diritti riservati da Rossiyskaya Gazeta