本日、ロシアの開発者がiOSアプリのアプリ内課金コンテンツを無料で入手する方法を公開したという、憂慮すべき情報が寄せられました。ロシアのブログi-ekb.ruで最初に報じられたこの「アプリ内プロキシ」は、脱獄を必要とせず、iOSデバイスさえあれば初心者でも3ステップで完了し、アプリ内コンテンツを無料でインストールできます。このハッキングは、iOS 3.0から6.0までのすべてのデバイスで動作します。この方法が（少なくとも一時的に）機能することを確認し、公開された手順が注目を集め始めていることから、Apple開発者コミュニティへの警告としてこの記事を公開することにしました。

このハッキングは、上記の動画デモを投稿したロシアの開発者ZonD80氏によるものとみられます。ZonD80氏はIn-AppStore.comというウェブサイトも運営しており、プロジェクトの開発支援とサーバーの稼働維持のための寄付を受け付けています。開発者は、ハッキングの3つの手順について説明しました。具体的には、CA証明書のインストール、in-appstore.com証明書のインストール、Wi-Fi設定のDNSレコードの変更です。この簡単な手順の後、アプリ内購入のインストール時に、Appleの通常の購入確認ダイアログではなく、上記のようなメッセージが表示されます。このハッキングがアプリ内購入コンテンツの盗難に利用されているという事実は、開発者の利用規約と同じくらい問題視されるべきです。以下は、このプロセスの一環として開発者のサーバーで処理されるデータのリストです（繰り返しますが、読者の皆様にはこの方法を試みないよう強くお願いいたします）。

アプリの制限レベル

アプリのID

- バージョンのID

-iDeviceのGUID

-アプリ内購入の数量

-アプリ内購入のオファー名

-使用している言語

-アプリケーションの識別子

アプリケーションのバージョン

-あなたのロケール

この方法では、すべてのアプリからコンテンツをインストールできないという問題があります。一部のユーザーから、特定の地域で特定のアプリ内課金が機能しないという報告があり、この方法を採用したユーザーもいます。これは当然ながら、私たちが容認できるものではありません。開発者自身から「AppStoreアプリの海賊版はやめてください」という警告があったにもかかわらず、彼は特定のアプリで機能しないと報告するハックユーザーへの支援を続けました。Appleと開発者コミュニティには、コンテンツが違法ダウンロードされる前に、この人物を締め出してほしいと願っています。

追記：コメント投稿者によると、Appleは開発者向けにアプリ内購入のレシートを検証する方法を提供しているとのことです。これが、上記のハックが一部のアプリで機能しない理由である可能性が高く、IAPを実装するすべての開発者が活用すべき点です。

追記2：  TNWは、このハッキングの開発者であるアレクセイ・V・ボロディン氏に話を聞いた。ボロディン氏は、前述のAppleのレシート検証方法を使用しているアプリは安全ではないと主張した。ボロディン氏によると、アプリ内購入の検証に自社サーバーを使用している開発者だけが、このハッキングを回避できるという。

更新3:  Appleはこの状況に関してThe Loop に対し、次のような声明を発表しました 。

「App Storeのセキュリティは、私たちにとっても開発者コミュニティにとっても極めて重要です」と、Appleの代表ナタリー・ハリソン氏はThe Loopに語った。「不正行為の報告を非常に深刻に受け止め、調査を進めています。」

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。