Een Russische hacker heeft een man-in-the-middle aanval gemaakt om de betaling van in-app aankopen na te maken. Daardoor lijkt het alsof de gebruiker betaalt, maar in feite gaat er niets van zijn iTunes-saldo af. De hack werkt zonder jailbreak. De hack werkt niet in alle apps met in-app aankopen, constateert 9to5 Mac. Sommige apps gebruiken een validatie voor in-app aankopen, waardoor de fraude niet kan plaatsvinden. De hack, die is ontdekt door een Russische ontwikkelaar, vereist dat de gebruiker enkele profielen installeert en dns-instellingen wijzigt in de verbindingsinstellingen.
Een jailbreak is niet vereist; de ontwikkelaar toont de hack op een iPhone 4S met iOS 6, waarvoor nog geen jailbreak publiekelijk beschikbaar is. De hack zou ook moeten werken op een iPad of iPod touch, met iOS-versies 3.x tot 6.0.
De Russische ontwikkelaar heeft het proces van in-app betalingen reverse engineeredom de hack mogelijk te maken. In de interface is te zien dat bij een in-app aankoop een popup verschijnt van de ontwikkelaar, waarbij op Like gedrukt moet worden om de aankoop te bevestigen.
Apple heeft nog niet gereageerd op deze kraak van zijn in-app aankoopproces. Het lijkt erop dat in-app aankopen bewaard blijven als de hack van het toestel wordt gehaald of aankopen op een ander iOS-toestel opnieuw gedownload worden. Het is niet aan te raden om de hack zelf uit te voeren: het gaat om een man-in-the-middle-proces en het is onduidelijk of de ontwikkelaar kwade bijbedoelingen heeft en op deze manier Apple ID-wachtwoorden van gebruikers kan onderscheppen.
Bron: tweakers.net