Apple กล่าวว่าการหาประโยชน์จากการซื้อในแอปจะได้รับการแก้ไขใน iOS 6 นักพัฒนา iOS จะได้รับการแก้ไขชั่วคราว
เมื่อเร็ว ๆ นี้พบว่าแฮ็กเกอร์ชาวรัสเซียได้จี้ระบบการซื้อในแอป iOS ของ Apple เพื่อทำคะแนนการอัปเกรดแบบเสียเงินฟรี เคล็ดลับทำได้สำเร็จโดยการข้ามเซิร์ฟเวอร์การตรวจสอบสิทธิ์ของ Apple และกำหนดเส้นทางการซื้อในแอปผ่านพร็อกซีที่ส่งใบเสร็จการซื้อที่ผิดพลาดกลับมา
ในขณะที่ Apple มีได้พยายามต่อสู้กับกิจกรรมนี้แล้ววันนี้บริษัทได้สรุปวิธีแก้ปัญหาสำหรับนักพัฒนาเพื่อให้การซื้อในแอปปลอดภัยจากการถูกฉ้อฉลดังกล่าว Apple ยังยืนยันด้วยว่าปัญหาจะได้รับการแก้ไขเมื่อ iOS 6 วางจำหน่ายสู่สาธารณะในฤดูใบไม้ร่วงนี้
ใน เอกสารสนับสนุนนักพัฒนาใหม่, Apple สนับสนุนให้นักพัฒนาใช้เซิร์ฟเวอร์การซื้อภายในแอปของตนเองเพื่อตรวจสอบและเข้ารหัสใบเสร็จ นักพัฒนาซอฟต์แวร์ที่ใช้เซิร์ฟเวอร์ส่วนตัวของบุคคลที่สามในการโอนใบเสร็จการซื้ออาจเสี่ยงต่อการถูกแฮ็ก Apple อนุญาตให้นักพัฒนาเข้าถึง API ส่วนตัวได้ชั่วคราวจนกว่าจะถึง iOS 6 เพื่อให้แน่ใจว่าการซื้อในแอปจะได้รับการยืนยันและปลอดภัย
เอกสารเริ่มต้นด้วยข้อความนี้:
พบช่องโหว่ใน iOS 5.1 และก่อนหน้าที่เกี่ยวข้องกับการตรวจสอบใบเสร็จการซื้อในแอปโดยเชื่อมต่อกับเซิร์ฟเวอร์ App Store โดยตรงจากอุปกรณ์ iOS ผู้โจมตีสามารถเปลี่ยนตาราง DNS เพื่อเปลี่ยนเส้นทางคำขอเหล่านี้ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี การใช้ผู้ออกใบรับรองที่ควบคุมโดยผู้โจมตีและติดตั้งบนอุปกรณ์โดยผู้ใช้ ผู้โจมตีสามารถออกใบรับรอง SSL ที่ระบุเซิร์ฟเวอร์ของผู้โจมตีอย่างฉ้อฉลว่าเป็น App Store เซิร์ฟเวอร์ เมื่อเซิร์ฟเวอร์ที่ฉ้อโกงนี้ถูกขอให้ตรวจสอบการรับที่ไม่ถูกต้อง เซิร์ฟเวอร์จะตอบกลับราวกับว่าใบเสร็จนั้นถูกต้อง
iOS 6 จะแก้ไขช่องโหว่นี้ หากแอปของคุณปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดที่อธิบายไว้ด้านล่าง จะไม่ได้รับผลกระทบจากการโจมตีนี้
Apple ยังได้พูดสิ่งต่อไปนี้ในแถลงการณ์ต่อ CNET:
เราขอแนะนำให้นักพัฒนาปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดที่ developer.apple.com เพื่อช่วยให้แน่ใจว่าพวกเขาจะไม่เสี่ยงต่อการซื้อในแอปที่ฉ้อโกง สิ่งนี้จะได้รับการแก้ไขด้วย iOS 6
แหล่งที่มา: CNET
ทาง: เว็บต่อไป