Apple sanoo, että sovelluksen sisäisen oston hyväksikäyttö korjataan iOS 6: ssa, iOS-kehittäjät saavat väliaikaisen korjauksen
Äskettäin havaittiin, että venäläinen hakkeri oli kaapannut Applen iOS-sovelluksen sisäisen ostojärjestelmän saadakseen maksullisia päivityksiä ilmaiseksi. Temppu tehtiin ohittamalla Applen todennuspalvelimet ja reitittämällä sovelluksen sisäinen osto välityspalvelimen kautta, joka lähetti takaisin viallisen ostokuitin.
Vaikka Applella onOlen jo yrittänyt taistella tätä toimintaa vastaan, tänään yhtiö hahmotteli ratkaisun kehittäjille pitääkseen sovelluksen sisäiset ostoksensa turvassa tällaiselta hyväksikäytöltä. Apple on myös vahvistanut, että ongelma korjataan, kun iOS 6 toimitetaan yleisölle tänä syksynä.
Jonkin sisällä uusi kehittäjien tukiasiakirja, Apple kannustaa kehittäjiä käyttämään omia sovelluksen sisäisiä ostopalvelimiaan kuittien vahvistamiseen ja salaamiseen. Kehittäjä, joka käyttää yksityistä kolmannen osapuolen palvelinta ostokuittien siirtämiseen, voi olla altis hakkeroinnille. IOS 6: een asti Apple sallii kehittäjien väliaikaisesti käyttää yksityisiä sovellusliittymiään varmistaakseen, että sovelluksen sisäiset ostokset on vahvistettu ja suojattu.
Asiakirja alkaa tällä viestillä:
IOS 5.1: ssä ja sitä vanhemmissa versioissa on havaittu haavoittuvuus, joka liittyy sovelluksen sisäisten ostokuittien vahvistamiseen yhdistämällä App Store -palvelimeen suoraan iOS-laitteesta. Hyökkääjä voi muuttaa DNS -taulukkoa ohjatakseen nämä pyynnöt hyökkääjän hallitsemalle palvelimelle. Käyttämällä varmentajaa, jota hyökkääjä hallitsee ja käyttäjä on asentanut laitteeseen, hyökkääjä voi antaa SSL -varmenteen, joka tunnistaa hyökkääjän palvelimen vilpillisesti App Storesta palvelin. Kun tätä petollista palvelinta pyydetään vahvistamaan virheellinen kuitti, se vastaa ikään kuin kuitti olisi pätevä.
iOS 6 korjaa tämän haavoittuvuuden. Jos sovelluksesi noudattaa alla kuvattuja parhaita käytäntöjä, hyökkäys ei vaikuta siihen.
Apple on myös sanonut CNET: lle antamassaan lausunnossa seuraavaa:
Suosittelemme, että kehittäjät noudattavat parhaita käytäntöjä osoitteessa developer.apple.com varmistaakseen, etteivät he ole alttiita vilpillisille sovelluksen sisäisille ostoille. Tätä käsitellään myös iOS 6: ssa.
Lähde: CNET
Kautta: Seuraava verkko