「iOS」搭載端末を対象としたある手法を使うことにより、組み込みのセキュリティ対策が結果的に迂回され、ユーザーがアプリケーション内の有料コンテンツに無料でアクセスできるようになっているという。
この手法は、あるロシア人プログラマーが詳細を明かしたもので、9to5Macが米国時間7月13日午前に(i-ekb.ruを通じて)記事を掲載している。同手法は、プロキシシステムを利用したもので、購入リクエストがサードパーティーのサーバに送信され、そこで検証されたリクエストが取引の完了を装って元のアプリケーションに返されるという仕組みだ。ただし、この処理が実行される前に、ユーザーは自身の端末上に特別なセキュリティ認定プログラムをインストールし、Wi-Fiネットワークに接続しておく必要がある。
この手法を明かした人物は、その仕組みが機能するために必要なプロキシサーバを稼働させるため、寄付を募るウェブサイトを既に開設している。
この抜け穴はアプリを越えて、認証のためにAppleとの通信を必要とする他の種類のコンテンツにまで広がっている。その中には、Appleのデジタル新聞サービス「Newsstand」も含まれている。同サービスでは通常、新聞や雑誌といったアイテムを無料で提供するとともに、アプリ内購入による定期購読の申し込みや単号毎での購入サービスも提供している。
注目すべきは、この手法のデモを収録したビデオにおいて、その仕組みが「iOS 6」のベータ版で動作する様子が示されていることだ。この手法は、「iOS 3」以上のすべてのバージョンで動作するという。iOS 3はアプリ内購入機能が最初に追加されたバージョンだ。
太平洋時間午後12時40分更新:The Next Webがこの手法を発見したAlexey V. Borodin氏に取材している。同氏は、自身が設定した仕組みがAppleの受信確認プロセスを実際に迂回していることを述べた。同氏はさらに、これまでに3万件以上のアプリ内購入が同サービスを使用して行われていると語った。
太平洋時間午後1時57分更新:Appleはこの手法について調査中であると述べた。
Appleの広報担当者Natalie Harrison氏は米CNETに対し、「『App Store』のセキュリティは、われわれや開発者コミュニティーにとって極めて重要である」と述べた。「われわれは不正な活動についての報告を非常に重大に受け止めており、現在調査中である」(Harrison氏)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」