Aujourd'hui, nous avons parlé le système In-Appstore qui vous permet de pirater les achats intégrés pour les applications maintenant je vais te dire ça dans les quelques heures qui ont suivi la présentation du système et jusqu'à présent, 30.000 6 transactions pirates ont été enregistrées. Fondamentalement, nous parlons d'un intervalle de plus de 30.000 heures au cours duquel les propriétaires d'iDevice ont enregistré plus de XNUMX XNUMX fausses transactions via le système d'achat intégré d'Apple, et si nous devions transformer les transactions en argent, le montant serait certainement important.
Plus tôt dans la journée, plus de 30,000 XNUMX achats intégrés ont été effectués via le service de Borodine, qui, selon lui, ne collecte aucune information personnelle sur ses utilisateurs.
Le système utilise une vulnérabilité dans les achats intégrés pour offrir cette fonctionnalité aux utilisateurs, et un développeur affirme qu'Apple peut tout résoudre en améliorant le système de cryptage des données transmises entre l'iDevice et les serveurs de l'entreprise. D’ici là, je pense que tant que le système sera actif, beaucoup de transactions seront enregistrées et bien sûr les développeurs perdront beaucoup d’argent.
Le fait est qu'Apple pourrait facilement résoudre ce problème en fournissant aux développeurs une méthode permettant de valider les reçus IAP à l'aide de ce que l'on appelle un « secret partagé », c'est-à-dire une information connue à la fois d'Apple et du développeur et qui n'est pas échangée comme tel. fait partie du processus de validation", explique le développeur Marco Tabini. « Couplé à une autre technique appelée « salting », dans laquelle chaque communication est signée numériquement de manière sensible au temps, cela rendrait beaucoup plus difficile pour quelqu'un de renverser le processus IAP à l'aide d'une attaque de l'homme du milieu.
