La semaine dernière le système de piratage des achats intégrés L'une des applications de l'App Store est devenue très populaire, des dizaines, voire des centaines de milliers de personnes souhaitant savoir comment l'utiliser. Le système étant devenu si populaire, Apple a été contraint de le bloquer, mais pour l'instant, il offre aux développeurs une méthode temporaire pour améliorer la sécurité des applications, après celle de iOS 6 le problème soit complètement résolu. La solution temporaire proposée par Apple se trouve dans cette page et il ne devrait théoriquement pas pouvoir être exploité par des pirates informatiques, mais il reste à voir si cela se produira ou non.
Une vulnérabilité a été découverte dans iOS 5.1 et versions antérieures liée à la validation des reçus d'achat intégrés en se connectant au serveur App Store directement à partir d'un appareil iOS. Un attaquant peut modifier la table DNS pour rediriger ces requêtes vers un serveur contrôlé par l'attaquant. À l'aide d'une autorité de certification contrôlée par l'attaquant et installée sur l'appareil par l'utilisateur, l'attaquant peut émettre un certificat SSL qui identifie frauduleusement le serveur de l'attaquant comme un serveur App Store. Lorsqu'on demande à ce serveur frauduleux de valider un reçu invalide, il répond comme si le reçu était valide.
iOS 6 corrigera cette vulnérabilité. Si votre application suit les bonnes pratiques décrites ci-dessous, elle n'est pas affectée par cette attaque.
Dans une déclaration faite à ceux de cNET, un porte-parole d'Appe affirme que l'ensemble du problème sera entièrement résolu par Apple dans iOS 6 et que les développeurs ne devraient pas s'inquiéter. En attendant, les utilisateurs bénéficient de cadeaux et les développeurs perdent des sommes d’argent non négligeables.
Nous recommandons aux développeurs de suivre les meilleures pratiques sur développeur.apple.com pour garantir qu'ils ne sont pas vulnérables aux achats frauduleux dans l'application", a déclaré le porte-parole d'Apple, Tom Neumayr, à CNET. "Ce problème sera également résolu avec iOS 6.
