La semana pasada les dije que un sistema llamado en-appstore.com le permite piratear las compras dentro de la aplicación de ciertas aplicaciones disponibles en La tienda de aplicaciones la empresa Apple. Debido a que el sistema rápidamente se hizo muy popular, los de Apple pidieron a la empresa YouTube que borrara el vídeo inicial en el que se demostraba la funcionalidad del sistema y presionaron para cerrar el servidor desde el que funciona. El hacker ruso no se rindió fácilmente, así que cambiado el país que mantiene su servidor ha mejorado el sistema, de modo que ahora todas las solicitudes de piratería ya no pasan por los servidores de Apple, y los usuarios deben cerrar sesión en su ID de Apple antes de utilizar el sistema, eliminando así cualquier sospecha sobre el robo de cuentas.
Al bloquear la ruta del 'ataque' original, Borodin evitó el problema de autenticación migrando el servicio a un nuevo servidor. Apple pudo presionar al anfitrión del servidor original, que estaba ubicado en Rusia, para que abandonara el servicio de Borodin, pero según el hacker ruso, el nuevo servidor está alojado en un país extranjero en un intento de evadir las solicitudes legales de Apple. Borodin nos dice que el nuevo servicio ha sido actualizado y elimina los servidores de Apple, "mejorando" el protocolo para incluir sus propios procesos de autorización y transacción. El nuevo método "ya no puede llegar a la App Store, por lo que la función de proxy (o almacenamiento en caché) se ha desactivado". El proceso de firma también se ha adaptado para garantizar que los usuarios no puedan utilizar el servicio de Borodin sin antes cerrar sesión en su cuenta de iTunes. ¿La razón de esto? "Ellos [los usuarios] necesitan cerrar sesión para no gritarle a Internet que estoy robando sus credenciales".
Aunque aparentemente todo el sistema funciona sin registrar datos de piratería ni información de ID de Apple, todo se basa simplemente en la palabra dada por el hacker. Afirma que Apple debe mejorar su sistema de compras in-app, de lo contrario seguirá explotándolo y a partir de aquí entra en juego todo lo que hacen otras webs similares. Apple tiene métodos disponibles para bloquear dichos sistemas, pero requieren actualizaciones de iOS y de aplicaciones, por lo que pasará bastante tiempo hasta que todo el sistema esté completamente bloqueado.
