Apple afferma che lo sfruttamento degli acquisti in-app verrà risolto in iOS 6, agli sviluppatori iOS viene data una correzione temporanea
È stato recentemente scoperto che un hacker russo aveva dirottato il sistema di acquisto in-app iOS di Apple per ottenere aggiornamenti a pagamento gratuitamente. Il trucco è stato realizzato aggirando i server di autenticazione di Apple e instradando un acquisto in-app tramite un proxy che ha restituito una ricevuta di acquisto difettosa.
Mentre Apple ha ungià tentato di combattere questa attività, oggi l'azienda ha delineato una soluzione per gli sviluppatori per proteggere i propri acquisti in-app da un simile exploit. Apple ha anche confermato che il problema verrà risolto quando iOS 6 sarà disponibile al pubblico questo autunno.
In un nuovo documento di supporto per gli sviluppatori, Apple incoraggia gli sviluppatori a utilizzare i propri server di acquisto in-app per convalidare e crittografare le ricevute. Uno sviluppatore che utilizza un server privato di terze parti per trasferire le ricevute di acquisto potrebbe essere soggetto all'hack. Fino a iOS 6, Apple consente temporaneamente agli sviluppatori di accedere alle sue API private per garantire che gli acquisti in-app siano verificati e sicuri.
Il documento inizia con questo messaggio:
È stata scoperta una vulnerabilità in iOS 5.1 e versioni precedenti relativa alla convalida delle ricevute di acquisto in-app collegandosi al server App Store direttamente da un dispositivo iOS. Un utente malintenzionato può alterare la tabella DNS per reindirizzare queste richieste a un server controllato dall'utente malintenzionato. Utilizzando un'autorità di certificazione controllata dall'attaccante e installata sul dispositivo dall'utente, il l'aggressore può emettere un certificato SSL che identifica in modo fraudolento il server dell'aggressore come App Store server. Quando a questo server fraudolento viene chiesto di convalidare una ricevuta non valida, risponde come se la ricevuta fosse valida.
iOS 6 risolverà questa vulnerabilità. Se la tua app segue le best practice descritte di seguito, non è interessata da questo attacco.
Apple ha anche affermato quanto segue in una dichiarazione a CNET:
Consigliamo agli sviluppatori di seguire le best practice su developer.apple.com per assicurarsi che non siano vulnerabili ad acquisti in-app fraudolenti. Questo verrà risolto anche con iOS 6.
Fonte: CNET
Attraverso: Il prossimo Web