Nell'ultima settimana il sistema di hacking degli acquisti in-app delle applicazioni nell'App Store è diventato molto popolare, decine o forse addirittura centinaia di migliaia di persone sono interessate a scoprire come utilizzarla. Poiché il sistema è diventato così popolare, Apple è stata costretta a bloccarlo, ma per ora offre agli sviluppatori un metodo temporaneo per migliorare la sicurezza delle applicazioni, seguendo quello di iOS 6 il problema da risolvere completamente. La soluzione temporanea proposta da Apple è reperibile in questa pagina e teoricamente non dovrebbe poter essere sfruttato dagli hacker, ma resta da vedere se ciò avverrà o meno.
È stata scoperta una vulnerabilità in iOS 5.1 e versioni precedenti relativa alla convalida delle ricevute di acquisto in-app collegandosi al server dell'App Store direttamente da un dispositivo iOS. Un utente malintenzionato può alterare la tabella DNS per reindirizzare queste richieste a un server controllato dall'utente malintenzionato. Utilizzando un'autorità di certificazione controllata dall'aggressore e installata sul dispositivo dall'utente, l'aggressore può emettere un certificato SSL che identifica fraudolentemente il server dell'aggressore come un server dell'App Store. Quando a questo server fraudolento viene chiesto di convalidare una ricevuta non valida, risponde come se la ricevuta fosse valida.
iOS 6 risolverà questa vulnerabilità. Se la tua app segue le best practice descritte di seguito, non è interessata da questo attacco.
In una dichiarazione rilasciata a quelli di cNET, un portavoce di Appe afferma che l'intera questione sarà completamente risolta da Apple con iOS 6 e che gli sviluppatori non dovrebbero preoccuparsi. Fino ad allora, gli utenti potranno usufruire di omaggi e gli sviluppatori perderanno somme di denaro non trascurabili.
Raccomandiamo agli sviluppatori di seguire le migliori pratiche su developer.apple.com per garantire che non siano vulnerabili agli acquisti in-app fraudolenti", ha detto a CNET il portavoce di Apple Tom Neumayr. "Anche questo verrà risolto con iOS 6.
