La codifica sciatta in alcuni popolari giochi iOS consente agli hacker di regalare a se stessi e ad altri migliaia di dollari di acquisti in-app gratuitamente.
Il buco è stato scoperto dagli sviluppatori di DigiDNA, creatore di uno strumento di backup chiamato iMazing che consente agli utenti di iPhone e iPad di accedere ai file system nascosti dei propri dispositivi. Gli sviluppatori hanno scoperto che la funzione di backup/ripristino dell'app in iMazing 1.3 espone i punti deboli nel modo in cui giochi come Angry Birds 2 e Tetris gratis gestire gli acquisti in-app.
Per dimostrare quanto sia facile hackerare gli acquisti in-app utilizzando questo metodo, il team DigiDNA ha ottimizzato Angry Birds 2 per iniziare il gioco con 999.999.999 gemme, l'equivalente di $ 10.000 di crediti di gioco.
di Rovio Angry Birds 2 è scaricabile gratuitamente, ma per avanzare i giocatori devono pagare per giocare utilizzando i cosiddetti "acquisti in-app". Il gioco è stato scaricato più di 20 milioni di volte nella prima settimana.
Questo difetto potrebbe privare gli sviluppatori degli aggiornamenti in-game che generano entrate dopo i download iniziali. Apple ha pagato agli sviluppatori più di 10 miliardi di dollari nel 2014, creando la cosiddetta economia delle app più grande di Hollywood.
Gli acquisti in-app sono un modello di business preferito dai produttori di app. Molte app possono essere scaricate gratuitamente, ma richiedono acquisti in-app per sbloccare funzionalità, passare al livello successivo o rimuovere annunci. È particolarmente popolare nei giochi. La perdita di acquisti in-app teoricamente potrebbe costare agli sviluppatori tonnellate di denaro se non proteggono il loro codice.
"Molte altre app sono vulnerabili", ha affermato Jérôme Bédat, co-proprietario di DigiDNA, che ha scoperto la debolezza.
Foto: iMazing
L'hack arriva sul retro del Rivelazioni di XcodeGhost, che ha rivelato che decine di app sono state contaminate da malware, inclusa, purtroppo per Rovio, la versione cinese di Angry Birds 2.
La falla è stata scoperta da Gregorio Zanon, comproprietario di DigiDNA, mentre stava testando una nuova versione del Strumento di backup iMazing. Ha scoperto che i backup di giochi popolari come Angry Birds 2 e Tetris gratis potrebbe essere trasferito da un ID Apple a un altro, inclusi eventuali acquisti in-app.
Zanon ha testato cinque app che si basano su IAP (Angry Birds 2, Temple Run 2, Tetris gratis, Candy Crush e Scontro tra clan) e ha pubblicato i risultati sul blog di DigiDNA.
Non incolpare Apple per questa vulnerabilità
DigiDNA ha affermato che la vulnerabilità non è colpa di Apple. Il problema è quello che Zanon chiamava "lazy coding" dagli sviluppatori di app. I creatori delle app compromesse semplicemente non hanno seguito quelli di Apple raccomandazione per escludere gli articoli acquistati dai backup. Invece, le app interessate archiviano gli elementi acquistati nella sandbox dell'app, accessibile in un backup.
La debolezza dell'acquisto in-app in precedenza poteva essere sfruttata modificando e ripristinando un backup iOS contenente i dati compromessi. Tuttavia, ripristini completi del genere richiedono molto tempo, motivo per cui molte persone non hanno mai sfruttato i difetti. Con i nuovi strumenti di backup come iMazing, che eliminano l'attrito di un backup completo, gli utenti possono esportare facilmente i propri acquisti in-app compromessi e condividerli.
Tutto ciò che un utente deve fare per ottenere l'acquisto in-app "gratuito" sul proprio dispositivo è aprire iMazing e ripristinare il file dell'app sul proprio dispositivo, operazione che richiede appena un minuto. La vulnerabilità non consente agli hacker di manipolare il codice dell'app stessa, ma rende molto facile ottenere gli acquisti sul tuo dispositivo da qualcun altro.
Le app possono essere vulnerabili in due modi: acquisti trasferibili e valuta di gioco modificabile. Quest'ultimo è lo scenario peggiore, poiché consente di manipolare la valuta di gioco a livelli incredibilmente alti modificando i file non crittografati in un backup. Gli utenti possono quindi creare un backup dell'app e condividere le patch online (sotto forma di file .imazingapp).
"Un utente può acquistare IAP e diffondere lo stato dell'app a un numero infinito di altri utenti", ha affermato Zanon. “Uno compra, molti si divertono.”
Un rappresentante Apple contattato da Cult of Mac in merito alla vulnerabilità si è rifiutato di commentare. Rovio ed Electronic Arts non hanno ancora risposto alle richieste di commento.
Zanon e i suoi colleghi hanno testato solo una manciata di app, ma hanno scoperto che circa la metà era vulnerabile. Pensano che il problema sia diffuso e che migliaia di app potrebbero essere potenzialmente vulnerabili al difetto.
"La nostra posizione è perfettamente chiara", ha detto Zanon. “Non vogliamo che i nostri utenti attacchino gli IAP. Ci siamo semplicemente imbattuti nella pigrizia degli sviluppatori e diventiamo pubblici principalmente perché non vogliamo che iMazing sia associato agli hack. Se non parliamo, alla fine la notizia potrebbe uscire e danneggiare la nostra reputazione. In breve, siamo entusiasti di essere il primo software ad abilitare il backup/ripristino delle app su iOS 9, ma non ci dispiacerebbe vedere questa fantastica funzionalità associata ai pirati".
Zanon e Bédat hanno fortemente esortato gli sviluppatori a rivedere il loro codice per la gestione degli acquisti in-app.
"La correzione del codice debole dovrebbe richiedere agli sviluppatori solo poche ore", ha affermato Bédat.
