Luknja je temeljila na Applovi šlampariji - na iNapravi namreč niso preverjali pristnosti strežnika za plačevanje in-app nakupov. Borodin je zato preprosto postavil svojega, nato pa v wi-fi nastavitvah podtaknil svoj DNS strežnik, tako da je iNaprava po poizvedbi za IP naslov plačilnega strežnika dobila njegov IP naslov. Promet do strežnika se sicer šifrira, a tudi to ni bil problem, saj je Borodin na svoj strežnik preprosto namestil samopodpisan certifikat, ki ga je potem uvozil še na iNapravico (datoteki cacert.pem in itcert.pem) v seznam zaupanja vrednih strežniških certifikatov. iPhone, iPod oz. iPad so tako slepo verjeli, da se pogovarjajo s pristnim strežnikom. Da bi bilo vse skupaj še lažje, je poba javno postavil še svoj DNS in spletno stran in plačilni strežnik (oboje na in-appstore.com) za ostale uporabnike, skupaj z navodili v obliki YouTube posnetka.
Napako se da sorazmerno enostavno preprečiti s preverjanjem strežniškega certifikate na klientu (pač ne spustiš skozi poljubnega veljavnega certa). Žal razvijalci še vedno večino naporov vlagajo v zagotovitev pristnosti klienta, na avtentikacijo strežniške strani pa preprosto pozabijo, zanašajoč se na poštenost uporabnika in njegovega omrežnega ponudnika.
Ker je bil problem v preveč zaupljivi omrežni kodi na iNapravah, Apple luknje ni mogel preprosto pokrpati s posegom na strežniški strani. Zato pa se je lotil Borodina, in to z vsemi silami. Zoper njegov instrukcijski video na YouTubu so podali DMCA takedown zahtevek, rekoč, da krši njihove avtorske pravice (priljubljena laž, ker takšen takedown traja manj kot 8 ur, v primerjavi z vsemi ostalimi metodami za odstranitev nezakonitih vsebin - to med drugim ve tudi naša vlada). Podobno so poskusili pri gostitelju Sergejeve spletne strani in-appstore.com, ter pri PayPalu, preko katerega je fant zaprosil za donacije. Borodin je vse skupaj enostavno zaobil - strežnik je preselil v drugo državo, donacije preklopil na bitcoin, YouTube posnetek pa postavil na novo, obenem pa Googlu javno sporočil, da vse skupaj nima nič z avtorskimi pravicami.
Istočasno so mirili razvijalce, da lahko goljufive uporabnike odvrnejo z ponovno preverbo številke računa skozi običajni iTunes nakupni API. Žal je glede tega vse več poročil, da to bodisi ne deluje, bodisi potrebuje spremembo tudi na strani aplikacije.
Zadnja (današnja) novica sicer pravi, da so nekoliko predrugačili tudi sam protokol za avtorizacijo in-app plačil, tako da napad zdaj več ne deluje. Brodin naj bi zadevno že potrdil. Vmes sta seveda minila slaba dva tedna, roke pa izmenjalo za več (deset? sto?) tisoč dolarjev dodatne vsebine za igre in druge aplikacije. Pri tem je najbolj zanimivo, da je vse skupaj ven prišlo šele zdaj. Mobilni iTunes je namreč že od nekdaj zgolj spletna aplikacija (podobno tudi Steam!), tako da je bilo že pred leti mogoče z DNS-podtikanjem iTunes Podcast RSS-jev polniti napravo z vsebinami. Tega so se posluževali predvsem pirati in pa GNU/Linux uporabniki, ki jim je Apple s podpisovanjem lokalne baze na iPodu preprečil dostop.
Dokončen mir bo, kot rečeno, prišel s prihajajočim iOS 6. Pri tem naj kot zanimivost omenimo, da za namestitev brezplačnih aplikacij in in-app vsebin več ne bo težil s pop-upom za iTunes prijavo.
Odstranjevanje YouTube posnetkov s lažnivim zatrjevanjem avtorskih pravic je hitro in učinkovito.
