En proposant une méthode permettant de valider les achats in-app dans les applications iOS sans les payer, un développeur russe a ouvert une boîte de Pandore qu'Apple a commencé de tenter de refermer. Les achats in-app représentent un modèle économique non négligeable pour les développeurs qui peuvent lever la barrière de l'acte d'achat de l'application en proposant des applications gratuites dites " freemium " dont certaines fonctionnalités peuvent être débloquées en les achetant directement depuis l'application.

Le procédé permet aussi de profiter de l'engouement pour les biens virtuels, avec des objets ou de l'argent vrituel à obtenir pour progresser plus rapidement dans un jeu. Contourner la méthode d'achat in-app peut donc constituer un sérieux problème pour les développeurs.

C'est ce que propose le développeur russe Alexey Borodin avec une méthode qui ne nécessite pas de jailbreaker les appareils iOS mais impose d'installer des certificats spécifiques et de faire passer les requêtes d'achats in-app par un serveur spécifique qui contourne le processus normal.

Apple doit encore trouver un correctif pour que la méthode du développeur puisse être désactivée mais en attendant la société a commencé à prendre des mesures pour empêcher son accès. Face aux quelques 30 000 transactions déjà réalisées, le problème pourrait vite devenir épineux s'il prenait des dimensions trop importantes.


Apple réagit mais n'a pas encore de correctif
App Store application iPhone  Le groupe de Cupertino a donc fait retirer la vidéo explicative initiale de la méthode sur Youtube, même si une seconde vidéo a déjà été republiée et a fait bloquer l'adresse IP du serveur utilisé. Parallèlement, il a contacté Paypal pour faire bloquer les donations de soutien, le hack étant accessible gratuitement, et qui doivent servir à payer l'hébergement et la bande passante.

De son côté, le développeur a mis en place un nouveau serveur, plus difficile à faire bloquer, et utilise le service Bitcoin, avec son architecture décentralisée, pour récolter les dons. Le bras de fer reste donc engagé.

Si la méthode de contournement des achats in-app est simple à mettre en place par les utilisateurs, elle n'est pas sans risques puisque les flux d'informations sont interceptés par un serveur pour lequel il faut compter sur la bonne foi de son administrateur.

Le développeur indique de son côté qu'il ne collecte aucune donnée et qu'il n'est pas nécessaire d'entrer les identifiants réels des comptes pour que le système fonctionne. A noter que la dernière version de travail d'iOS, iOS 6 beta 3 destinée aux développeurs, ne bloque pas le hack russe.

Source : WA Today