Het is de Russische hacker Alexey Borodin gelukt om gratis in-app aankopen te doen binnen iOS-apps. De methode die hij hiervoor verzon vereist geen jailbreak en is door iedereen met een iOS-apparaat uit te voeren. Er is zelfs een online uitleg beschikbaar.

De rechtschapen  Alexey heeft er wel bij gemeld dat stelen van content stout is. Wij voegen er graag aan toe dat het ook heel dom is, want je geeft hem er onder andere je Apple ID en wachtwoord mee.

De hack wordt uitvoerig uiteengezet in een interview dat The Next Web met Alexey had. Kortweg komt het er op neer dat hij een manier heeft gevonden om de authenticatie die Apple gebruikt bij in-app aankopen na te bootsen via een eigen server. Gebruikers moeten hiervoor een speciaal certificaat downloaden en hun DNS-instellingen aanpassen.

Alexey’s methode werkt niet bij alle in-app aankopen. De aankoop moet al een keer gedaan zijn om de authenticatie na te kunnen maken. Daarbij werkt de methode niet bij apps die een eigen methode hebben ingebouwd voor authenticatie van in-app aankopen.

De hack werd op vrijdag opgepikt door een Russisch blog en heeft inmiddels ook de aandacht van Apple getrokken. Via The Loop verklaarde woordvoerder Natalie Harrison dat het probleem serieus genomen wordt en dat inmiddels een onderzoek gestart is.

We waarschuwen nog maar een keer: het stelen van content is niet cool en in dit geval ook heel gevaarlijk, want ondanks Alexey’s uitspraak dat hij geen persoonlijke informatie van gebruikers opslaat… vertrouw jij je Apple ID toe aan een Russische hacker?