In de afgelopen week het hacksysteem van in-app-aankopen van de applicaties in de App Store is erg populair geworden. Tientallen of misschien zelfs honderdduizenden mensen zijn geïnteresseerd om erachter te komen hoe ze deze kunnen gebruiken. Omdat het systeem zo populair werd, werd Apple gedwongen het te blokkeren, maar voorlopig biedt het ontwikkelaars een tijdelijke methode om de beveiliging van applicaties te verbeteren, in navolging van iOS 6 het probleem volledig moet worden opgelost. De door Apple voorgestelde tijdelijke oplossing is te vinden in deze pagina en theoretisch zou het niet door hackers moeten kunnen worden uitgebuit, maar het valt nog te bezien of dit zal gebeuren of niet.
Er is een kwetsbaarheid ontdekt in iOS 5.1 en eerder met betrekking tot het valideren van in-app-aankoopbewijzen door rechtstreeks vanaf een iOS-apparaat verbinding te maken met de App Store-server. Een aanvaller kan de DNS-tabel wijzigen om deze verzoeken om te leiden naar een server die door de aanvaller wordt beheerd. Met behulp van een certificeringsinstantie die wordt beheerd door de aanvaller en door de gebruiker op het apparaat is geïnstalleerd, kan de aanvaller een SSL-certificaat uitgeven dat op frauduleuze wijze de server van de aanvaller identificeert als een App Store-server. Wanneer deze frauduleuze server wordt gevraagd een ongeldig ontvangstbewijs te valideren, reageert deze alsof het ontvangstbewijs geldig is.
iOS 6 zal deze kwetsbaarheid aanpakken. Als uw app de onderstaande praktische tips volgt, wordt deze niet beïnvloed door deze aanval.
In een verklaring aan degenen uit cNETbeweert een woordvoerder van Appe dat het hele probleem volledig door Apple zal worden opgelost in iOS 6 en dat ontwikkelaars zich geen zorgen hoeven te maken. Tot die tijd genieten gebruikers van gratis geschenken en verliezen ontwikkelaars niet te verwaarlozen hoeveelheden geld.
We raden ontwikkelaars aan de best practices op developer.apple.com te volgen om ervoor te zorgen dat ze niet kwetsbaar zijn voor frauduleuze in-app-aankopen', vertelde Apple-woordvoerder Tom Neumayr aan CNET. "Dit zal ook worden aangepakt met iOS 6.
