In der letzten Woche das Hacking-System von In-App-Käufen Die Anzahl der Anwendungen im App Store erfreut sich großer Beliebtheit. Zehn- oder vielleicht sogar Hunderttausende Menschen interessieren sich dafür, herauszufinden, wie sie sie nutzen können. Da das System so beliebt wurde, war Apple gezwungen, es zu blockieren. Derzeit bietet es Entwicklern jedoch eine vorübergehende Möglichkeit, die Sicherheit von Anwendungen zu verbessern iOS 6 Das Problem muss vollständig gelöst werden. Die von Apple vorgeschlagene Übergangslösung finden Sie in diese Seite und es sollte theoretisch nicht in der Lage sein, von Hackern ausgenutzt zu werden, aber es bleibt abzuwarten, ob dies passieren wird oder nicht.
In iOS 5.1 und früheren Versionen wurde eine Sicherheitslücke im Zusammenhang mit der Validierung von In-App-Kaufbelegen entdeckt, indem von einem iOS-Gerät aus direkt eine Verbindung zum App Store-Server hergestellt wird. Ein Angreifer kann die DNS-Tabelle ändern, um diese Anfragen an einen vom Angreifer kontrollierten Server umzuleiten. Mithilfe einer vom Angreifer kontrollierten und vom Benutzer auf dem Gerät installierten Zertifizierungsstelle kann der Angreifer ein SSL-Zertifikat ausstellen, das den Server des Angreifers betrügerisch als App Store-Server identifiziert. Wenn dieser betrügerische Server aufgefordert wird, eine ungültige Quittung zu validieren, reagiert er so, als ob die Quittung gültig wäre.
iOS 6 wird diese Schwachstelle beheben. Wenn Ihre App die unten beschriebenen Best Practices befolgt, ist sie von diesem Angriff nicht betroffen.
In einer Erklärung gegenüber denen von cNET, behauptet ein Appe-Sprecher, dass das gesamte Problem von Apple in iOS 6 vollständig gelöst wird und dass sich Entwickler keine Sorgen machen sollten. Bis dahin genießen Benutzer kostenlose Angebote und Entwickler verlieren nicht unerhebliche Geldbeträge.
„Wir empfehlen Entwicklern, die Best Practices auf Developer.apple.com zu befolgen, um sicherzustellen, dass sie nicht anfällig für betrügerische In-App-Käufe sind“, sagte Apple-Sprecher Tom Neumayr gegenüber CNET. „Dies wird auch mit iOS 6 behoben.
