Apple saka, ka pirkumu lietotnē izmantošana tiks novērsta operētājsistēmā iOS 6, iOS izstrādātājiem, ņemot vērā pagaidu labojumu
Nesen tika atklāts, ka krievu hakeris ir nolaupījis Apple iOS lietotņu pirkšanas sistēmu, lai bez maksas iegūtu maksas jauninājumus. Triks tika paveikts, apejot Apple autentifikācijas serverus un novirzot pirkumu lietotnē, izmantojot starpniekserveri, kas nosūtīja atpakaļ kļūdainu pirkuma čeku.
Kamēr Apple ir aEs jau mēģināju cīnīties ar šo darbību, šodien uzņēmums iesniedza izstrādātājiem risinājumu, kā pasargāt pirkumus lietotnē no šādas izmantošanas. Apple arī apstiprināja, ka problēma tiks novērsta, kad šoruden sabiedrība iOS 6 tiks piegādāta.
Iekšā jauns izstrādātāja atbalsta dokuments, Apple mudina izstrādātājus izmantot savus pirkšanas lietotnēs serverus, lai apstiprinātu un šifrētu kvītis. Izstrādātājs, kas izmanto privātu trešās puses serveri pirkuma čeku pārsūtīšanai, varētu būt pakļauts uzlaušanai. Līdz iOS 6 Apple īslaicīgi ļauj izstrādātājiem piekļūt savām privātajām API, lai pirkumi lietotnē tiktu pārbaudīti un droši.
Dokuments sākas ar šādu ziņojumu:
Operētājsistēmā iOS 5.1 un agrāk tika atklāta ievainojamība, kas saistīta ar pirkumu saņemšanas apstiprināšanu lietotnē, izveidojot savienojumu ar App Store serveri tieši no iOS ierīces. Uzbrucējs var mainīt DNS tabulu, lai novirzītu šos pieprasījumus uz uzbrucēja kontrolētu serveri. Izmantojot uzbrucēja kontrolētu un lietotāja ierīcē instalētu sertifikāta iestādi uzbrucējs var izsniegt SSL sertifikātu, kas krāpnieciski identificē uzbrucēja serveri kā App Store serveris. Kad šim krāpnieciskajam serverim tiek lūgts apstiprināt nederīgu kvīti, tas atbild tā, it kā kvīts būtu derīga.
IOS 6 novērsīs šo ievainojamību. Ja jūsu lietotne ievēro tālāk aprakstīto paraugpraksi, tad šis uzbrukums to neietekmē.
Apple paziņojumā CNET arī ir teicis sekojošo:
Mēs iesakām izstrādātājiem ievērot paraugpraksi vietnē developer.apple.com, lai nodrošinātu, ka viņi nav neaizsargāti pret krāpnieciskiem pirkumiem lietotnē. Tas tiks risināts arī operētājsistēmā iOS 6.
Avots: CNET
Caur: Nākamais tīmeklis