I den sidste uge hackingsystemet for køb i appen af App Store-applikationerne er blevet meget populære, titusinder eller måske endda hundredtusindvis af mennesker er interesserede i at finde ud af, hvordan de kan bruge det. Fordi systemet blev så populært, blev Apple tvunget til at blokere det, men indtil videre tilbyder det udviklere en midlertidig metode til at forbedre applikationernes sikkerhed, efter at fra kl. iOS 6 problemet skal løses fuldstændigt. Den midlertidige løsning foreslået af Apple kan findes i denne side og det burde teoretisk set ikke kunne udnyttes af hackere, men det skal ses om det sker eller ej.
En sårbarhed er blevet opdaget i iOS 5.1 og tidligere relateret til validering af købskvitteringer i appen ved at oprette forbindelse til App Store-serveren direkte fra en iOS-enhed. En angriber kan ændre DNS-tabellen for at omdirigere disse anmodninger til en server, der kontrolleres af angriberen. Ved at bruge en certifikatautoritet kontrolleret af angriberen og installeret på enheden af brugeren, kan angriberen udstede et SSL-certifikat, der svigagtigt identificerer angriberens server som en App Store-server. Når denne svigagtige server bliver bedt om at validere en ugyldig kvittering, reagerer den, som om kvitteringen var gyldig.
iOS 6 vil løse denne sårbarhed. Hvis din app følger den bedste praksis beskrevet nedenfor, påvirkes den ikke af dette angreb.
I en udtalelse givet til dem fra cNET, en Appe-talsmand hævder, at hele problemet vil blive fuldstændig løst af Apple i iOS 6, og at udviklere ikke bør bekymre sig. Indtil da nyder brugerne af freebies, og udviklere mister ikke ubetydelige mængder penge.
Vi anbefaler, at udviklere følger bedste praksis på developer.apple.com for at hjælpe med at sikre, at de ikke er sårbare over for svigagtige køb i appen, siger Apple-talsmand Tom Neumayr til CNET. "Dette vil også blive løst med iOS 6.
