Apple kaže da će se iskorištavanje kupnje putem aplikacije popraviti u iOS-u 6, razvojnim programerima iOS-a privremeno je popravljen
Nedavno je otkriveno da je ruski haker oteo Appleov sustav kupovine putem iOS-a u aplikaciji kako bi besplatno postigao plaćene nadogradnje. Trik je postignut zaobilaženjem Appleovih poslužitelja za provjeru autentičnosti i usmjeravanjem kupnje unutar aplikacije putem proxyja koji je vratio neispravan račun o kupnji.
Dok Apple imaveć sam se pokušao boriti protiv ove aktivnosti, danas je tvrtka predstavila rješenje za programere kako bi svoje kupnje putem aplikacije zaštitile od takvog iskorištavanja. Apple je također potvrdio da će problem biti riješen kada iOS 6 ove jeseni stigne u javnost.
U novi dokument za podršku programerima, Apple potiče programere da koriste vlastite poslužitelje za kupnju unutar aplikacije za provjeru i šifriranje računa. Programer koji koristi privatni poslužitelj treće strane za prijenos potvrda o kupnji mogao bi biti podložan hakiranju. Do iOS 6, Apple privremeno dopušta programerima pristup svojim privatnim API-jevima kako bi se osiguralo da su kupnje putem aplikacije provjerene i sigurne.
Dokument počinje ovom porukom:
U iOS 5.1 i starijim verzijama otkrivena je ranjivost u vezi s potvrđivanjem potvrda o kupnji putem aplikacije povezivanjem na poslužitelj App Store izravno s iOS uređaja. Napadač može promijeniti DNS tablicu kako bi preusmjerio te zahtjeve na poslužitelj kojim upravlja napadač. Koristeći ovlaštenje za izdavanje certifikata koje kontrolira napadač i instalira ga na uređaj korisnik, napadač može izdati SSL certifikat koji na lažan način identificira napadačev poslužitelj kao App Store poslužitelja. Kad se od ovog lažnog poslužitelja traži da potvrdi nevažeći račun, on odgovara kao da je primitak valjan.
iOS 6 će riješiti ovu ranjivost. Ako vaša aplikacija slijedi najbolje primjere iz prakse opisane u nastavku, ovaj napad na nju ne utječe.
Apple je u izjavi za CNET rekao i sljedeće:
Programerima preporučujemo da slijede najbolje primjere iz prakse na developer.apple.com kako bi bili sigurni da nisu osjetljivi na lažne kupnje putem aplikacije. To će se riješiti i s iOS 6.
Izvor: CNET
Preko: Sljedeći web