Viime viikolla sovelluksen sisäisten ostosten hakkerointijärjestelmä App Storen sovelluksista on tullut erittäin suosittuja, ja kymmenet tai jopa sadat tuhannet ihmiset ovat kiinnostuneita ottamaan selvää, miten he voivat käyttää sitä. Koska järjestelmästä tuli niin suosittu, Apple joutui estämään sen, mutta toistaiseksi se tarjoaa kehittäjille tilapäisen tavan parantaa sovellusten turvallisuutta. iOS 6 ongelma ratkaistaan kokonaan. Applen ehdottama väliaikainen ratkaisu löytyy osoitteesta tämä sivu ja teoriassa hakkerit eivät voi käyttää sitä hyväkseen, mutta jää nähtäväksi, tapahtuuko tämä vai ei.
iOS 5.1:stä ja aiemmista versioista on löydetty haavoittuvuus, joka liittyy sovelluksen sisäisten ostokuittien vahvistamiseen muodostamalla yhteys App Store -palvelimeen suoraan iOS-laitteesta. Hyökkääjä voi muuttaa DNS-taulukkoa ohjatakseen nämä pyynnöt hyökkääjän hallitsemaan palvelimeen. Hyökkääjän hallitseman ja käyttäjän laitteelle asentaman varmenteen myöntäjän avulla hyökkääjä voi myöntää SSL-varmenteen, joka vilpillisesti tunnistaa hyökkääjän palvelimen App Store -palvelimeksi. Kun tätä petollista palvelinta pyydetään vahvistamaan virheellinen kuitti, se vastaa kuin kuitti olisi kelvollinen.
iOS 6 korjaa tämän haavoittuvuuden. Jos sovelluksesi noudattaa alla kuvattuja parhaita käytäntöjä, tämä hyökkäys ei vaikuta siihen.
Lausunnossa, joka annettiin niille alkaen cNET, Appen tiedottaja väittää, että Apple ratkaisee koko ongelman kokonaan iOS 6:ssa ja että kehittäjien ei pitäisi huolehtia. Siihen asti käyttäjät nauttivat ilmaisista tarjouksista, ja kehittäjät menettävät merkittäviä summia rahaa.
Suosittelemme kehittäjiä noudattamaan parhaita käytäntöjä osoitteessa developer.apple.com varmistaakseen, etteivät he ole alttiina vilpillisille sovelluksen sisäisille ostoille", Applen tiedottaja Tom Neumayr kertoi CNET:lle. "Tämä käsitellään myös iOS 6:ssa.
