Apple indaga sull'hack degli Acquisti In App

Apple sta indagando sulla violazione degli acquisti In App su App Store messa in atto da un hacker russo. Intanto, però, già 30.000 transazioni non ufficiali sono state processati dai server fittizi messi su allo scopo.
Apple sta indagando sulla violazione degli acquisti In App su App Store messa in atto da un hacker russo. Intanto, però, già 30.000 transazioni non ufficiali sono state processati dai server fittizi messi su allo scopo.
Giacomo Martiradonna
Pubblicato il 14 lug 2012

Solo ieri vi raccontavamo dell’hacker russo che è riuscito a bypassare i meccanismi degli acquisti In App su App Store, cosa che gli ha permesso di abilitare servizi aggiuntivi senza effettivamente sborsare un centesimo. Come era facile prevedere, Apple sta ora cercando di fare luce sulla faccenda.

Non è ancora del tutto chiaro come Alexey Borodin sia riuscito nell’impresa, ma di sicuro il metodo funziona ed è pure alla portata di chiunque: per abilitare l’hack basta l’installazione di un paio di certificati e la modifica dei DNS del dispositivo iOS. Non è neppure necessario il jailbreak.

Ora però, Apple ha sguinzagliato i suoi ingegneri alla ricerca d’un rimedio. Lo spiega brevemente un portavoce di Cupertino, Natalie Harrison:

“La sicurezza dell’App Store è incredibilmente importante per noi e per la comunità di sviluppatori. Prendiamo molto seriamente i report di attività fraudolenta, e stiamo già investigando.”

In una intervista a Borodin pubblicata da The Next Web, l’hacker racconta di aver già effettuato 30.000 transazione non ufficiali attraverso il server messo a disposizione sul Web. Insiste molto sul fatto che nessun dato personale viene carpito durante il processo, a parte lo user ID e la password iTunes, ma già solo questo sembra un deterrente di tutto rispetto.

La cosa più seccante, tuttavia, è che l’intero ecosistema Apple appare fallato dalle fondamenta, e agli sviluppatori non resta molto altro se non attendere che Cupertino vi apporti le dovute modifiche. Così com’è, infatti, il meccanismo dell’In App Purhcase non è in grado di distinguere tra server reali e fittizi:

Attualmente, Apple fornisce un metodo agli sviluppatori per verificare le ricevute App Store sui propri server, il che lascerebbe credere che, così facendo, si potrebbe impedire il funzionamento del metodo Borodin. Ma abbiamo ricevuto conferme da lui che le cose non stanno così. Poiché il meccanismo di elusione emula la ricevuta dei server di verifica su App Store, l’app la tratta come una comunicazione ufficiale, chiuso l’argomento.

Insomma, non basterà una patch lato server o qualche ritocco formale. Non questa volta, in ogni caso, poiché la questione ha radici molto profonde.

Ti consigliamo anche

App Store, Apple confessa di avere 5 diverse piattaforme attive in UE
App Store

App Store, Apple confessa di avere 5 diverse piattaforme attive in UE
WhatsApp Beta: ora si può cambiare il colore del tema
App Store

WhatsApp Beta: ora si può cambiare il colore del tema
BOMBA AMAZON: Friggitrice ad aria Cecotec a MENO DI 50 EURO
App Store

BOMBA AMAZON: Friggitrice ad aria Cecotec a MENO DI 50 EURO
Cuffie True Wireless Sony a MENO DI META' PREZZO: ne rimangono pochissime
App Store

Cuffie True Wireless Sony a MENO DI META' PREZZO: ne rimangono pochissime
Link copiato negli appunti