Terwijl Apple druk bezig is met een oplossing voor de onlangs ontdekte in-app aankoophack gaat de Rus die ervoor verantwoordelijk was vrolijk door. Inmiddels heeft deze Alexei Borodin het zelfs voor elkaar gekregen om ‘gratis’ in-app aankopen voor applicaties uit de Mac App Store mogelijk te maken.

De methode die Borodin gebruikt lijkt erg op die voor iOS. Daarbij wordt gebruik gemaakt van een nagemaakt beveiligingscertificaat dat gebruikt wordt voor identificatie bij een in-app aankoop. In plaats van de Mac App Store wordt het certificaat echter doorgestuurd naar een server van Borodin dat zich voordoet als de Store. 

Net als bij de iOS App Store geldt dat deze hack alleen werkt bij in-app aankopen voor een beperkt aantal apps. Daarbij kan de zelfde waarschuwing uitgedaan worden als de vorige keer: het gratis downloaden van betaalde content is niet alleen moreel een slecht idee. Je geeft ook persoonlijke informatie uit handen waar misbruik van gemaakt kan worden (ook al zegt Borodin dat hij dit niet zal doen).

Apple blijft ondertussen hard doorwerken aan een oplossing voor de iOS-hack. Daarbij krijgen ontwikkelaars tijdelijk toegang tot Apple’s private API om certificaten voor in-app aankopen aan te maken. Het is goed mogelijk dat Mac-ontwikkelaars hier nu ook toegang toe krijgen, zolang er geen definitieve oplossing voor het probleem gevonden is.