Płatności In-App zostaną naprawione dopiero w iOS 6. Co teraz mają zrobić deweloperzy?
Kilka dni temu pisałem, że wypłynęła informacja o płatnościach In-App, których można dokonywać bez wkładu finansowego. Apple już zajął się sprawą. Luka zostanie uzupełniona w iOS 6, czyli jesienią.
Kilka dni temu pisałem, że wypłynęła informacja o płatnościach In-App, których można dokonywać bez wkładu finansowego. Apple już zajął się sprawą. Luka zostanie uzupełniona w iOS 6, czyli jesienią.
Jak opisują problem przedstawiciele Apple'a:
W iOS 5.1 i starszych odkryto lukę związaną z płatnościami In-App. Atakujący może zmienić rekordy DNS i przekierować ich żądania na serwer dokonujący ataku. Korzystając z certyfikatu kontrolowanego przez atakującego (zainstalowanego w urządzeniu przez użytkownika), atakujący może zmodyfikować certyfikat SSL w taki sposób, że jego serwer będzie identyfikowany jako App Store. Gdy więc fałszywy serwer jest proszony o autoryzację, ta przebiega pomyślnie.
Na jednej z deweloperskich witryn Apple'a pojawiło się obszerne Q&A (questions & answers - pytania i odpowiedzi), gdzie każdy z Was może dowiedzieć się więcej na temat tego problemu, a także uzyskać informacje, jak już teraz bronić się przed niepożądanymi zakupami in-app w aplikacjach. Kompleksowe rozwiązanie problemu pojawi się dopiero w szóstej generacji iOS-a, która swoją oficjalną premierę ma mieć jesienią.
Swoją drogą, luka z płatnościami In-App przeniosła się także na Mac App Store. Metoda uzyskania dostępu do darmowych zawartości In-App jest bardzo zbliżona do tej iOS-owej i również polega na modyfikacji DNS-ów i kombinacjach z certyfikatami. Szacuje się, że do tej pory dokonano tym niecnym sposobem ponad 8,4 miliona bezpłatnych płatności In-App na iOS-ie.
Źródło: IDB
