En la ultima semana el sistema de hackeo de compras dentro de la aplicación de las aplicaciones en la App Store se ha vuelto muy popular, decenas o incluso cientos de miles de personas están interesadas en saber cómo pueden usarlas. Debido a que el sistema se hizo tan popular, Apple se vio obligada a bloquearlo, pero por ahora ofrece a los desarrolladores un método temporal para mejorar la seguridad de las aplicaciones, siguiendo el ejemplo de iOS 6 el problema quede completamente resuelto. La solución temporal propuesta por Apple la podemos encontrar en esta página y, en teoría, los piratas informáticos no deberían poder explotarlo, pero queda por ver si esto sucederá o no.
Se descubrió una vulnerabilidad en iOS 5.1 y versiones anteriores relacionada con la validación de recibos de compra en la aplicación conectándose al servidor de la App Store directamente desde un dispositivo iOS. Un atacante puede alterar la tabla DNS para redirigir estas solicitudes a un servidor controlado por el atacante. Utilizando una autoridad de certificación controlada por el atacante e instalada en el dispositivo por el usuario, el atacante puede emitir un certificado SSL que identifica de manera fraudulenta el servidor del atacante como un servidor de App Store. Cuando a este servidor fraudulento se le pide que valide un recibo no válido, responde como si el recibo fuera válido.
iOS 6 abordará esta vulnerabilidad. Si su aplicación sigue las mejores prácticas que se describen a continuación, este ataque no la afectará.
En una declaración dada a aquellos de cnet, un portavoz de Appe afirma que Apple resolverá completamente todo el problema en iOS 6 y que los desarrolladores no deberían preocuparse. Hasta entonces, los usuarios disfrutan de regalos y los desarrolladores pierden cantidades nada despreciables de dinero.
Recomendamos a los desarrolladores que sigan las mejores prácticas en desarrollador.apple.com para ayudar a garantizar que no sean vulnerables a compras fraudulentas dentro de la aplicación", dijo el portavoz de Apple, Tom Neumayr, a CNET. "Esto también se solucionará con iOS 6.
