ロシアのハッカーが先週、プロキシサーバーを利用して3万ドル以上の追加コンテンツの販売を可能にしたiOSのアプリ内購入メカニズムの欠陥を暴露したが、この欠陥はまもなく過去のものになるかもしれない。報道によると、Appleは検証レシートに一意の識別子を発行することでこの脆弱性を封じ込めようとしているという。
この識別子には、アプリ内購入を行うデバイスの固有デバイス識別子(UDID)が含まれているようです。Appleが最近、UDIDの使用を理由にサードパーティ製アプリを拒否し始めたことを考えると、この動きは示唆的です。また、Appleは開発者向けに、アプリがUDIDに頼ることなくユーザーを特定できるツールを準備していると見られていました…
Eric Slivka は MacRumors で次のように説明しています。
ある開発者が私たちに指摘したように、アプリはもはや UDID を収集することになっていないため、Apple がこの目的でこの識別子を使用するのは、セキュリティ強化のために固有のレシート識別子をより広範囲に実装するための第一歩に過ぎないのか、それとも、この方法を機能させるためにロシアのハッカーとレシートを共有しているユーザーとデバイスを特定しようとしているのかは不明です。
しかし、Appleが使用している固有識別子が本当にデバイスUDIDなのか、それとも他の固有識別子なのかはすぐには明らかになっていません。MacRumorsが引用した開発者はその後、The Next WebのMatthew Panzarino氏から連絡を受け、この件についてより詳しい説明を受けました。
Macrumorsに連絡を取った情報源から、私たちにも連絡がありました。彼らによると、そのスロットには確かにUDIDが表示されていますが、Appleが以前から推奨しているUDIDへの参照を削除するアプリのアップデートはまだ行われていないとのことです。
これにより、パンザリーノ氏は、追加コンテンツの購入に関する更新された領収書で発見された Apple の新しい「unique_identifier」フィールドの性質について推測することになった。
最近アプリのアップデートを提出した開発者は、識別文字列の使用が原因でアプリが拒否されていることに気づきました。この新しい識別子の使用法は、Appleが新しいデバイス向けに推奨されるUUID標準を実装しつつ、古いバージョンのOSで動作するアプリではUDIDの使用を許可している可能性を示唆しています。
先週、ロシアのハッカー、アレクセイ・V・ボロディンが、脱獄を必要とせずに、誰でも実行できる簡単な3ステップの手順でアプリ内購入の仕組みをうまく回避した(iTunesのデータが第三者に公開されることにも注意)という一連のニュース報道を受けて、クパチーノは当初、この問題を調査中であるとの声明を発表した。
2日後、AppleはロシアのサーバーのIPアドレスをブロックすることで反撃しました。また、YouTubeにハウツー動画の削除を要請し、ボロディン氏のウェブサイトをホスティングしている企業に削除通知を発行し始めました。一方、PayPalはハッキングへの寄付金の受け取りに使用されていた非公開アカウントを削除しました。
これらは明らかに、より永続的な解決策が利用可能になるまでの暫定的な措置です。
興味深いことに、Beeblex というスタートアップが、IAP エクスプロイトによる被害を回避したい開発者向けに無料の検証回避策を提供していることから、現在注目を集めています。
前述の通り、このエクスプロイトの使用は強く推奨しません。機密性の高いiTunesデータが第三者に漏洩する可能性があるためです。さらに、追加コンテンツを購入するのではなく盗むことになるため、カルマ(善意)を傷つけるだけでなく、iOS開発に心血を注いでいる人々にとって憂鬱な事態となります。
皆さんのほとんどはこのハッキングを避けてきたと思いますが?
