Apple აცხადებს, რომ შიდა აპლიკაციის შესყიდვები დაფიქსირდება iOS 6-ში, iOS დეველოპერებს დროებითი შესწორება ექნებათ
ცოტა ხნის წინ გაირკვა, რომ რუსი ჰაკერი იტაცებდა Apple– ის iOS– ის შიდა აპლიკაციის შესყიდვის სისტემას ფასიანი განახლებების უფასოდ შეფასებისთვის. ხრიკი განხორციელდა Apple– ის ავტორიზაციის სერვერების გვერდის ავლით და აპს-შიდა შესყიდვის მარიონეტული საშუალებით, რომელმაც უკან გაგზავნა ყიდვის გაუმართავი ქვითარი.
მიუხედავად იმისა, რომ Apple- ს აქვსუკვე შევეცადე ამ საქმიანობასთან ბრძოლადღეს კომპანიამ აჩვენა გამოსავალი დეველოპერებისთვის, რომ დაიცვან თავიანთი შიდა შესყიდვები ასეთი ექსპლუატაციისგან. Apple– მა ასევე დაადასტურა, რომ პრობლემა მოგვარდება, როდესაც iOS 6 შემოვა შემოდგომაზე საზოგადოებისთვის.
Ში ახალი დეველოპერის მხარდაჭერის დოკუმენტი, Apple მოუწოდებს დეველოპერებს გამოიყენონ საკუთარი შიდა აპლიკაციის შესყიდვის სერვერები ქვითრების გადამოწმებისა და დაშიფვრის მიზნით. დეველოპერი, რომელიც იყენებს კერძო, მესამე მხარის სერვერს შესყიდვის ქვითრების გადასაცემად, შეიძლება იყოს მგრძნობიარე გატეხვისთვის. IOS 6 – მდე, Apple დროებით აძლევს დეველოპერებს უფლებას, მიიღონ წვდომა მის პირად API– ზე, რათა უზრუნველყონ შიდა შესყიდვების შემოწმება და უსაფრთხოება.
დოკუმენტი იწყება ამ შეტყობინებით:
IOS 5.1 და ადრე აღმოჩენილია დაუცველობა, რომელიც დაკავშირებულია აპს-შიდა შესყიდვების ქვითრების გადამოწმებასთან, პირდაპირ მაღაზიიდან App Store სერვერთან iOS მოწყობილობიდან. თავდამსხმელს შეუძლია შეცვალოს DNS ცხრილი, რომ გადააყენოს ეს მოთხოვნები თავდამსხმელის მიერ კონტროლირებად სერვერზე. სერთიფიკატის ავტორიტეტის კონტროლირებადი თავდამსხმელის მიერ და მოწყობილობაზე დაინსტალირებული მომხმარებლის მიერ თავდამსხმელს შეუძლია გასცეს SSL სერთიფიკატი, რომელიც თაღლითურად განსაზღვრავს თავდამსხმელის სერვერს, როგორც App Store- ს სერვერი. როდესაც ამ თაღლითურ სერვერს სთხოვენ დაადასტუროს არასწორი ქვითარი, ის პასუხობს თითქოს ქვითარი მართებული იყოს.
iOS 6 გაუმკლავდება ამ დაუცველობას. თუ თქვენი აპლიკაცია მიჰყვება ქვემოთ აღწერილ საუკეთესო პრაქტიკას, მაშინ მასზე შეტევა არ იმოქმედებს.
Apple– მა ასევე თქვა შემდეგი CNET– ის განცხადებაში:
ჩვენ ვურჩევთ დეველოპერებს დაიცვან developer.apple.com– ის საუკეთესო პრაქტიკა, რათა უზრუნველყონ, რომ ისინი დაუცველნი არიან თაღლითური შიდა აპლიკაციის შესყიდვების მიმართ. ეს ასევე მოგვარდება iOS 6 -ით.
წყარო: CNET
ვია: შემდეგი ვებ