Az In-App-Purchase egyre kedveltebb eszköze a fejlesztőknek - ingyen vagy nagyon olcsón kínálnak igényes játékokat, inkább a játék során elérhető bónuszokért, vagy elkölthető virtuális tallérokért kérnek el plusz pénzeket. Aki rákattan a játékra, így annyi pénzt költ el, amennyit a játék megvásárlásakor esze ágában sem lett volna, akinek viszont nem tetszik egyáltalán a program, olcsón megússza a próbát.

Hát ezt a rendszert, pontosabban a vásárlási folyamatot játszotta ki a ZonD80 névre hallgató orosz hacker. Az "in-app proxy" módszer egy szervert állít be az iOS-készülék és az Apple közé. Így miközben az app azt gondolja, hogy az Apple-lel kommunikál, valójában a hackerrel teszi, azt az információt kapva, hogy sikeresen lezajlott a szükséges elszámolási tranzakció. Pedig valójában semmi nem történt.

Egy videó az esetről:

Három lépésből áll a hack, telepíteni kell egy CA certificate-et, egy in-appstore.com certificate-et, és át kell állítani a DNS szerver elérését.

A módszer iOS 3.0-tól 6.0-ig működik, azonban nem minden app esetében. Azok a fejlesztők, akik saját szerverről, más, vagy fejlettebb biztonsági módszerrel szolgálják ki az alkalmazáson belüli vásárlásokat, védettek. Azon appok készítői vannak veszélyben, akik az Apple által felajánlott lehetőséget alkalmazzák.

Most újra elkezdődött egy macska-egér játék, az Apple nyilván gyorsan húz egyet az IAP-nadrágszáron, míg ZonD80 megpróbálja azt is kijátszani, just for fun.

A hacker blogja, ahol követni lehet az eseményeket: In-AppStore.com.