Компания Apple обновила API-функции интерфейса разработчиков приложений, используемые для проведения покупок внутри приложений по системе In App Purchase. Около двух недель назад российский программист Алексей Бородин сумел обмануть систему биллинга компании Apple, взяв на себя роль сервера компании, подтверждающего оплату дополнительного контента. В результате этого, в некоторых приложениях для iOS (а позднее и Mac OS X) можно было приобрести контент абсолютно бесплатно. Сейчас Бородин подтвердил закрытие уязвимости, однако обратил внимание, что до тех пор пока разработчики не обновят свои приложения, их пользователи смогут приобретать контент бесплатно. Эксперты безопасности неоднократно предупреждали пользователей, что данные о покупке содержат реквизиты доступа в магазин-приложений App Store, и что в результате использования предложенного хака, эти данные отправляются на сервер Бородина. По оценке наблюдателей, в ходе мошеннических действий, Бородину удалось на своих серверах собрать более 400 тыс. учетных записей пользователей App Store. Компания Apple рекомендует всем своим пользователям, которые стали жертвой мошенничества, сменить реквизиты доступа к сервису App Store и произвести корректную настройку устройства. По заявлению разработчиков Apple, новые версии iOS 6 и Mac OS X "Mountain Lion" не содержат обнаруженных уязвимостей.
Источник