Alexei Borodin a mis en place un système permettant de contourner la vérification des achats in-app sur OS X, et ainsi de les obtenir sans payer. Ce hacker russe s'était distingué il y a quelques jours en proposant un système similaire pour iOS.
Le mécanisme sur Mac est très similaire à celui sur iOS : il consiste à installer deux certificats et à modifier les entrées DNS pour que les serveurs du hacker répondent aux requêtes du Mac App Store à la place des serveurs d'Apple. Une application supplémentaire est cette fois-ci indispensable pour accompagner le processus, comme l'explique The Next Web.
Des données sensibles transitant par ces serveurs, les risques de sécurité sont les mêmes. Les serveurs renvoient une réponse interprétée comme valide par l'application, et l'achat in-app est effectué sans que l'utilisateur n'ait rien à payer. Même si les achats in-app sont encore peu répandus sur OS X, les effets sont tout aussi néfastes pour les développeurs.
Apple a annoncé qu'iOS 6 bloquerait cette méthode de contournement, et offre aux développeurs l'accès à deux APIs jusqu'ici privées pour chiffrer et vérifier leurs reçus in-app directement auprès des serveurs d'Apple. On imagine que la firme de Cupertino ne tardera pas à faire de même sur Mac, et qu'une mise à jour mineure de Mountain Lion, qui sort dans quelques jours, sera prestement disponible pour régler le problème.
