iOS用アプリ内購入迂回エクスプロイトを公表のハッカー：「ゲームは終わり」

　米国時間7月23日、実際に代金を支払うことなくiOSアプリ内から有料コンテンツを入手できるようにするエクスプロイトを生み出したハッカーが語ったところによると、Appleがこの脆弱性への対応を行ったことで同エクスプロイトは使えなくなったという。

　このエクスプロイトを生み出したAlexei Borodin氏は、自身の開発ブログで「現在のところ、（この）対応済みのAPIを迂回する方法は持ち合わせていない。みんなにとって良いニュースだ。iOSのセキュリティは強化され、開発者はお金を受け取ることができるようになる」と投稿している。

　このエクスプロイトにはサードパーティーのサーバと、特別にインストールしたセキュリティ証明書が必要となる。Borodin氏は、Appleが「iOS 6」を公開するまで、このエクスプロイトで用いられるサーバを稼働させ続けると述べている。なお、Appleが7月19日に述べたところによると、数カ月後にリリース予定のiOS 6はこの脆弱性に対処したものとなっているという。それまでの間、同社はアップデート済みのAPIを提供することで、有料コンテンツの購入ごとに検証を行うことになる。

　「iOS 6のアプリ内購入に関するAppleの最新の文書に目を通したところ、現時点で（この）ゲームは終わったと言える」（Borodin氏）

　7月21日に行われた、この気鋭のプログラマーとのインタビューによると、同エクスプロイトを利用して840万件以上のアプリ内コンテンツが入手されたという。こういったコンテンツの代金を最低金額である99セントとして計算すると、開発者が受け取り損ねた金額は総額にして582万ドルとなり、App Storeの7対3の収益配分に基づくとAppleが受け取り損ねた金額は249万ドルになる。とは言うものの、iOSアプリコンテンツの課金額は最低金額である99セントを大きく上回ることもあるため、損失総額ははるかに大きなものとなるだろう。