Come vi abbiamo segnalato qualche giorno fa in un nostro articolo, un hacker russo è riuscito a bypassare il sistema di acquisto in-app delle applicazioni iOS, che ha permesso a lui e chiunque abbia seguito le sue istruzioni di avere contenuti a pagamento in forma gratuita.
Mentre Apple sta lavorando (probabilmente anche con i suoi legali) ad un fix definitivo a questo hack, non è stata con le mani nelle mani, e ha trovato un modo per rendere sicuri gli acquisti in-app tramite alcune precauzioni che per il momento devono prendere gli sviluppatori.
Apple ha perciò inviato una mail a tutti i suoi sviluppatori avvisando del problema, e del fix che sarà rilasciato questo autunno su iOS 6, e ha inoltre distribuito un nuovo documento di supporto agli sviluppatori incoraggiandoli ad usare il proprio server per validare e criptare le richieste ricevute. Infatti uno sviluppatore, che utilizzi un server privato di terze parti potrebbe essere vulnerabile all’hack.
Fino ad iOS 6, Apple permetterà momentaneamente di accedere ad alcune APIs, che assicureranno un trasferimento sicuro e controllato di informazioni durante l’acquisto.
Ecco un estratto del documento di supporto in lingua inglese
A vulnerability has been discovered in iOS 5.1 and earlier related to validating in-app purchase receipts by connecting to the App Store server directly from an iOS device. An attacker can alter the DNS table to redirect these requests to a server controlled by the attacker. Using a certificate authority controlled by the attacker and installed on the device by the user, the attacker can issue a SSL certificate that fraudulently identifies the attacker’s server as an App Store server. When this fraudulent server is asked to validate an invalid receipt, it responds as if the receipt were valid.
iOS 6 will address this vulnerability. If your app follows the best practices described below then it is not affected by this attack.
fonte | CultOfMac