Apple казва, че експлоатацията при закупуване в приложение ще бъде коригирана в iOS 6, разработчиците на iOS са получили временно поправяне
Наскоро беше открито, че руски хакер е отвлякъл системата за закупуване на iOS в Apple на Apple, за да отбележи безплатни надстройки. Номерът беше постигнат чрез заобикаляне на сървърите за удостоверяване на Apple и насочване на покупка в приложение чрез прокси, който изпрати обратно дефектна разписка за покупка.
Докато Apple имаВече се опитах да се боря с тази дейност, днес компанията очерта решение за разработчиците да предпазят своите покупки в приложението от такава експлоатация. Apple също потвърди, че проблемът ще бъде отстранен, когато iOS 6 се появи на обществеността тази есен.
В нов документ за поддръжка на програмисти, Apple насърчава разработчиците да използват свои собствени сървъри за закупуване в приложение за валидиране и криптиране на разписки. Разработчик, използващ частен сървър на трета страна за прехвърляне на разписки за покупки, може да бъде податлив на хакване. До iOS 6 Apple временно разрешава на разработчиците достъп до своите частни API, за да се гарантира, че покупките в приложението са проверени и сигурни.
Документът започва с това съобщение:
В iOS 5.1 и по-ранни версии е открита уязвимост, свързана с валидиране на разписки за покупки в приложението чрез свързване към сървъра на App Store директно от устройство с iOS. Нападателят може да промени DNS таблицата, за да пренасочи тези заявки към сървър, контролиран от нападателя. Използвайки орган за сертифициране, контролиран от нападателя и инсталиран на устройството от потребителя, нападателят може да издаде SSL сертификат, който измамно идентифицира сървъра на нападателя като App Store сървър. Когато този измамнически сървър бъде помолен да потвърди невалидна разписка, той отговаря, сякаш разписката е валидна.
iOS 6 ще се справи с тази уязвимост. Ако приложението ви следва най -добрите практики, описани по -долу, то то не се влияе от тази атака.
Apple също каза следното в изявление пред CNET:
Препоръчваме на разработчиците да следват най-добрите практики на developer.apple.com, за да се гарантира, че не са уязвими за измамни покупки в приложението. Това ще бъде разгледано и с iOS 6.
Източник: CNET
Чрез: Следващата мрежа