Apple sier at kjøpsutnyttelse i app vil bli løst i iOS 6, iOS-utviklere gitt midlertidig reparasjon
Det ble nylig oppdaget at en russisk hacker hadde kapret Apples iOS-system for kjøp i app for å score betalte oppgraderinger gratis. Trikset ble oppnådd ved å omgå Apples autentiseringsservere og dirigere et kjøp i appen gjennom en proxy som sendte tilbake en feil kjøpskvittering.
Mens Apple har enallerede forsøkt å bekjempe denne aktiviteten, i dag skisserte selskapet en løsning for utviklere for å holde kjøpene sine i appene trygge for en slik utnyttelse. Apple har også bekreftet at problemet vil bli løst når iOS 6 sendes til publikum i høst.
I en nytt dokument for utviklerstøtte, Apple oppfordrer utviklere til å bruke sine egne kjøpsservere i appen for å validere og kryptere kvitteringer. En utvikler som bruker en privat tredjepartsserver for å overføre kjøpskvitteringer, kan være utsatt for hackingen. Frem til iOS 6 tillater Apple midlertidig utviklere å få tilgang til sine private API-er for å sikre at kjøp i app er bekreftet og sikkert.
Dokumentet begynner med denne meldingen:
Det er oppdaget en sårbarhet i iOS 5.1 og tidligere knyttet til validering av kjøpskvitteringer i app ved å koble til App Store-serveren direkte fra en iOS-enhet. En angriper kan endre DNS -tabellen for å omdirigere disse forespørslene til en server kontrollert av angriperen. Ved bruk av en sertifikatmyndighet kontrollert av angriperen og installert på enheten av brukeren, angriper kan utstede et SSL -sertifikat som på en uredelig måte identifiserer angriperens server som en App Store server. Når denne uredelige serveren blir bedt om å validere en ugyldig kvittering, svarer den som om kvitteringen var gyldig.
iOS 6 vil løse dette sikkerhetsproblemet. Hvis appen din følger de beste fremgangsmåtene beskrevet nedenfor, påvirkes den ikke av dette angrepet.
Apple har også sagt følgende i en uttalelse til CNET:
Vi anbefaler at utviklere følger gode fremgangsmåter på developer.apple.com for å sikre at de ikke er sårbare for uredelige kjøp i apper. Dette vil også bli løst med iOS 6.
Kilde: CNET
Via: Neste web