Förra veckan berättade jag att ett system ringde in-appstore.com låter dig hacka köp i appen av vissa applikationer som är tillgängliga i App Store Apple företaget. Eftersom systemet snabbt blev väldigt populärt bad de från Apple YouTube-företaget att ta bort det första videoklippet där systemets funktionalitet demonstrerades och satte press på att stänga servern som det fungerar från. Den ryska hackaren gav inte upp lätt, så ändrats landet som underhåller sin server har förbättrat systemet, så att nu alla hackningsförfrågningar inte längre går via Apples servrar, och användare måste logga ut från sitt Apple-ID innan de använder systemet, vilket eliminerar alla misstankar om kontostöld.
Genom att blockera den ursprungliga "attack"-vägen kringgick Borodin autentiseringsproblemet genom att migrera tjänsten till en ny server. Apple kunde pressa värden för den ursprungliga servern – som låg i Ryssland – att avbryta Borodins tjänst, men enligt den ryska hackaren är den nya servern värd i ett offshore-land i ett försök att kringgå Apples juridiska förfrågningar. Borodin berättar att den nya tjänsten har uppdaterats och skär ut Apples servrar, och "förbättrar" protokollet så att det inkluderar dess egna auktoriserings- och transaktionsprocesser. Den nya metoden "kan och kommer inte att nå App Store längre, så proxy- (eller caching)-funktionen har inaktiverats." Signeringsprocessen har också anpassats för att säkerställa att användare inte kan använda Borodins tjänst utan att först logga ut från sitt iTunes-konto. Anledningen för det här? "De [användarna] måste logga ut så att de inte skriker till Internet att jag stjäl deras autentiseringsuppgifter."
Även om hela systemet uppenbarligen fungerar utan att logga hackningsdata och Apple ID-information, är allt helt enkelt baserat på det ord som hackaren har gett. Han hävdar att Apple måste förbättra sitt system för köp i appen, annars kommer han att fortsätta att utnyttja det och härifrån går allt in i spelet som gjorts av andra liknande webbplatser. Apple har tillgängliga metoder för att blockera sådana system, men de kräver iOS-uppdateringar och programuppdateringar, så det kommer att ta ett tag innan hela systemet är helt blockerat.
