La settimana scorsa vi ho detto che un sistema chiamato in-appstore.com ti consente di hackerare gli acquisti in-app di alcune applicazioni disponibili in L'App Store l'azienda Apple. Dato che il sistema è diventato rapidamente molto popolare, quelli di Apple hanno chiesto all'azienda di YouTube di cancellare il videoclip iniziale in cui veniva dimostrata la funzionalità del sistema e hanno fatto pressione affinché il server da cui funziona venisse chiuso. L'hacker russo non si è arreso facilmente, quindi cambiato il paese che gestisce il suo server ha migliorato il sistema, in modo che ora tutte le richieste di hacking non passino più attraverso i server Apple e gli utenti debbano disconnettersi dal proprio ID Apple prima di utilizzare il sistema, eliminando così ogni sospetto di furto dell'account.
Bloccando il percorso di "attacco" originale, Borodin ha eluso il problema dell'autenticazione migrando il servizio su un nuovo server. Apple è riuscita a fare pressione sull'host del server originale, che si trovava in Russia, affinché abbandonasse il servizio Borodin, ma secondo l'hacker russo, il nuovo server è ospitato in un paese offshore nel tentativo di eludere le richieste legali di Apple. Borodin ci informa che il nuovo servizio è stato aggiornato e taglia fuori i server di Apple, "migliorando" il protocollo per includere i propri processi di autorizzazione e transazione. Il nuovo metodo "può e non raggiungerà più l'App Store, quindi la funzionalità proxy (o caching) è stata disabilitata". Il processo di firma è stato inoltre adattato per garantire che gli utenti non possano utilizzare il servizio Borodin senza prima uscire dal proprio account iTunes. Il motivo? "Loro [gli utenti] devono disconnettersi per non gridare a Internet che sto rubando le loro credenziali."
Sebbene apparentemente l'intero sistema funzioni senza registrare i dati di hacking e le informazioni sull'ID Apple, tutto si basa semplicemente sulla parola data dall'hacker. Sostiene che Apple deve migliorare il suo sistema di acquisti in-app, altrimenti continuerà a sfruttarlo e da qui entra in gioco tutto quello realizzato da altri siti simili. Apple dispone di metodi per bloccare tali sistemi, ma richiedono aggiornamenti iOS e aggiornamenti delle applicazioni, quindi ci vorrà un po' di tempo prima che l'intero sistema venga completamente bloccato.
