Az Apple a tegnapi napon kiadott egy közleményt a fejlesztők számára, melyben tájékoztatást adnak arról, hogy az alkalmazásokon belüli hibát, – mely lehetőséget kínált egy orosz hackernek, hogy feltörje azt – az iOS 6 végleges megjelenéséig javítani fogják. Mint megírtuk, egy orosz hackernek sikerült a fizetős tartalmakat ingyenesen megszereznie az appokból. Persze az Apple ezt követően lecsapott a hackerre.
A vulnerability has been discovered in iOS 5.1 and earlier related to validating in-app purchase receipts by connecting to the App Store server directly from an iOS device. An attacker can alter the DNS table to redirect these requests to a server controlled by the attacker. Using a certificate authority controlled by the attacker and installed on the device by the user, the attacker can issue a SSL certificate that fraudulently identifies the attacker’s server as an App Store server. When this fraudulent server is asked to validate an invalid receipt, it responds as if the receipt were valid. iOS 6 will address this vulnerability. If your app follows the best practices described below then it is not affected by this attack.
Az iOS 6 premierjéig mindenesetre az Apple egy javaslatot fogalmazott meg a fejlesztők felé, mely biztosítja, hogy a DNS rekordokat felül lehessen írni, ezáltal végre megkerülhetetlenné válik az alkalmazásokon belüli fizetős tartalmak ingyenes elérése.
Az Apple tehát jelenleg csupán egy kerülő megoldást adott a fejlesztők kezébe. Egy olyan API kulcsot tett elérhetővé, mely egyáltalán nem publikus, de azon alkalmazások szerzői, melyek használnak in-app-purchase eljárást most mégis használhatóvá válik.
Code Listings
The code listings in this document’s companion files illustrate an implementation approach for the mitigation strategy described in this document.
Note: This listing uses the symbols kSecTrustInfoExtendedValidationKey and SecTrustCopyInfo, which are not public API. Your app is allowed to use them for this specific purpose.
Akit érdekelnek a továbbiak az IAP helyes használatával kapcsolatban, azok az Apple fejlesztőknek szánt oldalán tájékozódhatnak.