W ostatnim tygodniu system hakowania zakupów w aplikacji aplikacji w App Store stała się bardzo popularna, dziesiątki, a może nawet setki tysięcy osób zainteresowanych tym, jak mogą z niej skorzystać. Ponieważ system stał się tak popularny, Apple był zmuszony go zablokować, ale na razie oferuje programistom tymczasową metodę poprawy bezpieczeństwa aplikacji, wzorując się na iOS 6 problem do całkowitego rozwiązania. Tymczasowe rozwiązanie zaproponowane przez Apple można znaleźć w ta strona i teoretycznie nie powinno nadawać się do wykorzystania przez hakerów, ale okaże się, czy tak się stanie, czy nie.
W systemie iOS 5.1 i wcześniejszych wersjach wykryto lukę związaną z sprawdzaniem rachunków za zakupy w aplikacji poprzez połączenie się z serwerem App Store bezpośrednio z urządzenia z systemem iOS. Osoba atakująca może zmienić tabelę DNS, aby przekierować te żądania do serwera kontrolowanego przez atakującego. Korzystając z urzędu certyfikacji kontrolowanego przez atakującego i zainstalowanego na urządzeniu przez użytkownika, atakujący może wystawić certyfikat SSL, który fałszywie identyfikuje serwer atakującego jako serwer App Store. Kiedy ten fałszywy serwer zostanie poproszony o sprawdzenie nieprawidłowego potwierdzenia, odpowiada tak, jakby potwierdzenie było ważne.
iOS 6 usunie tę lukę. Jeśli Twoja aplikacja stosuje się do najlepszych praktyk opisanych poniżej, ten atak nie ma na nią wpływu.
W oświadczeniu przekazanym osobom z cNET, rzecznik Appe twierdzi, że cały problem zostanie całkowicie rozwiązany przez Apple w iOS 6 i deweloperzy nie powinni się martwić. Do tego czasu użytkownicy cieszą się gratisami, a programiści tracą niemałe sumy pieniędzy.
Zalecamy programistom przestrzeganie najlepszych praktyk na stronie deweloper.apple.com, aby mieć pewność, że nie są narażeni na oszukańcze zakupy w aplikacji” – powiedział CNET rzecznik Apple Tom Neumayr. „Ten problem zostanie również rozwiązany w iOS 6.
