Novità riguardo la vicenda delle In-App Purchase. Apple ha da poco inviato una email a tutti gli sviluppatori avvisandoli di visionare un nuovo documento riguardo la ricevuta di convalida per evitare problami con il suddetto metodo di acquisto.
L’email contiene il seguente messaggio:
Se la tua applicazione usa l’In-App Purchase su iOS 5.1 o inferiori, dovresti controllare la nuova documentazione riguardo la ricevuta di controllo delle In-App Purchase su iOS. Questo vi aiuterà ad assicurare che la vostra app non sia vulnerabile a potenziale fraudolento In-App Purchase.
In una parte del documento allegato Apple specifica il funzionamento dell’attacco e indica che il problema verrà risolto definitivamente con iOS 6, ecco la parte evidenziata:
E’ stata scoperta una vulnerabilità in iOS 5.1 e inferiori riguardo la ricevuta di controllo delle In-App Purchase connettendosi al server App Store direttamente da un dispositivo iOS. Un attacker (utente malintenzionato) può alterare la tabella DNS per inoltrare le richieste ad un server controllato dall’attacker. Usando un certificato di autorità controllato dall’attacker e installato sul dispositivo dall’utente, l’attacker può rilasciare un certificato SSL che identifica in modo fraudolento il server dell’attacker come un server AppStore. Quando questo server fraudolento è richiesto di validare una ricevuta invalida, questo risponde come se la ricevuta fosse valida.
iOS 6 risolverà questa vulnerabilità. Se la tua applicazione segue le migliori pratiche descritte qui sotto allora non è affetta da questo tipo di attacco.
Ovviamente tutti gli sviluppatori per evitare attacchi non dovranno fare altro che seguire le indicazioni fornite da Apple per evitare il problema, che verrà aggirato definitivamente dopo l’uscita di iOS 6, che vi ricordiamo, uscirà tra un paio di mesi circa.
Via | 9to5mac
Leggi o Aggiungi Commenti