Apple dice que el exploit de compras en la aplicación se solucionará en iOS 6, los desarrolladores de iOS recibirán una solución temporal
Recientemente se descubrió que un pirata informático ruso había estado secuestrando el sistema de compras dentro de la aplicación iOS de Apple para obtener actualizaciones pagas de forma gratuita. El truco se logró al pasar por alto los servidores de autenticación de Apple y enrutar una compra dentro de la aplicación a través de un proxy que envió un recibo de compra defectuoso.
Mientras que Apple tiene unaYa intenté combatir esta actividad., hoy la compañía esbozó una solución para que los desarrolladores mantengan sus compras dentro de la aplicación a salvo de tal vulnerabilidad. Apple también ha confirmado que el problema se solucionará cuando iOS 6 se lance al público este otoño.
en un nuevo documento de soporte para desarrolladores, Apple anima a los desarrolladores a utilizar sus propios servidores de compras en la aplicación para validar y cifrar los recibos. Un desarrollador que utilice un servidor privado de terceros para transferir recibos de compra podría ser susceptible a la piratería. Hasta iOS 6, Apple permite temporalmente a los desarrolladores acceder a sus API privadas para garantizar que las compras dentro de la aplicación estén verificadas y sean seguras.
El documento comienza con este mensaje:
Se descubrió una vulnerabilidad en iOS 5.1 y versiones anteriores relacionada con la validación de recibos de compra dentro de la aplicación al conectarse al servidor de la App Store directamente desde un dispositivo iOS. Un atacante puede alterar la tabla DNS para redirigir estas solicitudes a un servidor controlado por el atacante. Usando una autoridad de certificación controlada por el atacante e instalada en el dispositivo por el usuario, el El atacante puede emitir un certificado SSL que identifica de manera fraudulenta el servidor del atacante como una App Store. servidor. Cuando se le pide a este servidor fraudulento que valide un recibo no válido, responde como si el recibo fuera válido.
iOS 6 abordará esta vulnerabilidad. Si su aplicación sigue las mejores prácticas descritas a continuación, entonces no se verá afectada por este ataque.
Apple también ha dicho lo siguiente en un comunicado a CNET:
Recomendamos a los desarrolladores que sigan las mejores prácticas en developer.apple.com para asegurarse de que no sean vulnerables a compras fraudulentas dentro de la aplicación. Esto también se solucionará con iOS 6.
Fuente: CNET
Vía: La próxima web