2012년 7월 14일 토요일

애플 인앱퍼처스 러시아 해커가 뚫었다


애플 인앱퍼처스(In-App Purchase)가 뚫렸습니다. 알렉시 보로딘(ZonD80)이라는 러시아 개발자가 iOS 인앱퍼처스 프로그램을 해킹한 뒤 방법을 공개했습니다. 아이폰 아이패드 아이팟터치에서 유료 콘텐트를 돈 안내고 구매할 수 있는 방법. 탈옥 않고 가능합니다. 한국시간 토요일 오후 현재 애플과 러시아 개발자(해커) 간 숨박꼭질이 한창입니다. 러시아 블로그(i-ekb)에 공개되면서 알려졌는데, 블로그 글을 러시아영어한국어로
옮겨 간추리자면...

게임을 좋아하지만 앤앱퍼처스로 돈을 내긴 싫으냐? 오늘 인앱스토어닷컴 사이트에 올려진 글 덕분에 누구든지 공짜로 인앱퍼처스 시스템을 해킹해 게임 내 콘텐트를 공짜로 살 수 있게 됐다. 이 방식은 탈옥이 필요치 않으며, iOS 3.0부터 6.0까지 모든 버전에서 통한다. 3단계 절차만 거치면 된다.


(업데이트1) 애플이 서버 호스팅 업체한테 콤플레인을 제기했다. 서버를 다른 나라로 옮겨야겠다. (업데이트2) 개발자가 새 DNS 열었다. 91.224.160.136. 다시 작동한다. (업데이트3) 소문에 의하면 이 방법으로 3만건 구매가 이뤄졌다고 한다. (업데이트4) 애플 대변인 답변. “앱스토어 안전은 우리와 커뮤니티에 매우 중요하다. 부정행위를 심각하게 받아들이며 조사에 들어갔다.” (업데이트5) TNW가 ZonD80을 인터뷰했다. 이 개발자는 애플 인앱퍼처스 인증 절차가 안전하지 않다고 주장했다. (이어 해킹 방법 설명... 아래 캡처)


시연 동영상도 올려져 있는데 작동 안됩니다. 애플 요청으로 차단... ZD넷 기자는 위 방식대로 해킹을 하다간 자신의 데이터가 누군가한테 넘어갈 수 있으니 조심하라고 써놨습니다. ... 러시아 개발자가 운영하는 In-AppStore.com이란 블로그스팟 사이트에 들어가 보면 인앱퍼처스 해킹 관련 얘기가 아주 많습니다. 자세한 해킹 절차도 사진과 함께 올려져 있습니다. 링크.



러시아 개발자는 이렇게 써놨습니다. 내장 메모리 512메가짜리 가상 개인서버(VPS)를 사용하고 있는데 접속이 폭주해 감당할 수 없다, 애플은 큰 회사지만 나는 아니다. 4기가 이상 쿼드코어 서버 4대를 살 수 있게 도와달라, (페이팔 계정 공개). 기부받은 서버를 돌리려면 2~3일은 걸릴 것이다. (링크).

뉴스스탠드도 공짜. (링크)
애플, 나랑 접촉하자. 아이폰5 하나 공짜로 주면 내가 아는 것 알려주겠다. ㅋㅋ 아이폰5를 공짜로 달라고 합니다 ㅋㅋ. 이 와중에 농담을... (링크)
애플이 움직이기 시작했다. 내 페이팔 계정 정지시켰다. (링크)


해커는 '애플에 대한 응답'이란 제목으로 새 동영상을 유튜브에 올리고 블로그스팟 사이트에서 알렸습니다. 시연 동영상입니다. (아래 동영상...올린 땐 보였는데 이젠 소리만 나옵니다. 유튜브 사이트에서도 보였다 안보였다 합니다.)



뚫리지 않는 방패는 없다지만, 뚫려선 안되는 게 있는데, 인앱퍼처스가 뚫리다니. 스티브 잡스 없는 애플... 나사가 풀린 건지, 애플답지 않습니다. [광파리]

(추가1) 러시아 해커가 입장을 밝혔습니다. (링크). 첫째, 나는 돈을 훔치지 않았다. 어느 누구도 아이튠즈 스토어 계정에서 1센트도 잃지 않았다. 둘째, 나는 어떤 것도 해킹하지 않았다. 앱스토어 대체(app-store replacement)만 했다. 셋째, 개발자 여러분, 수백만 고객을 거느리고 있을 텐데, 서비스가 이래서야 되겠느냐. 넷째, 나는 패스워드를 훔치거나 수집하지 않았다. 다섯째, 완벽한 건 없다. 나는 개발자들은 앱을 보호하게, 애플은 프로토콜을 개선하게 했다.