Hacker in-app di nuovo, questa volta con OS X

Ora che Apple sta risolvendo l'exploit di acquisto in-app dell'hacker russo Alexei Borodin portato alla luce questa settimana, sembra che ci sia di nuovo. Questa volta, tuttavia, si tratta di un hack per l'acquisto in-app che funziona nel Mac App Store.

Il metodo qui è simile a quello utilizzato da Borodin in iOS, con l'utente che installa alcuni certificati di sicurezza falsi e quindi punta i server DNS del Mac su un falso server gestito da Borodin. Il server remoto finge quindi di essere il vero Mac Store e verifica l'acquisto, aggirando il sistema reale per gli acquisti in-app impostato da Apple e utilizzato dagli sviluppatori di app per Mac. Borodin afferma che questo sistema ha consentito finora circa 8,4 milioni di acquisti gratuiti.

Questo è un altro colpo per Apple, che oggi ha annunciato che gli sviluppatori iOS possono utilizzare una correzione temporanea per il loro iOS 5 app per impedire all'hack di iOS di funzionare e rubare i loro acquisti in-app, con una correzione più permanente impostata per iOS 6, in arrivo presto. Possiamo solo supporre che Apple creerà una correzione simile per l'exploit Mec OS X, possibilmente anche nella prossima versione OS X di Mountain Lion (10.8).

Certo, le app iOS tendono a fare affidamento sugli acquisti in-app più delle app OS X, ma rubarle è un furto, anche su scala ridotta. Può solo ferire Apple lasciare che un simile exploit esista più a lungo di quanto sia strettamente necessario per creare una soluzione solida.

Perché Borodin lo stia facendo non è chiaro: gli piace la sfida tecnica, il gioco con Apple o sta protestando contro il sistema di acquisto in-app stesso? A questo punto possiamo solo avvisare che stiamo tutti alla larga da un tale exploit, in quanto non solo priva Apple delle entrate, ma anche gli sviluppatori, nessuno dei quali ha le riserve di denaro che Apple ha.

Fonte: Il prossimo Web