Hacker Russo aggira le protezioni Apple per gli acquisti in-app

Un grave bug di sicurezza per Apple e i suoi acquisti in-app

SCRITTO DA Pubblicato il

Un giovane hacker Russo è riuscito a bypassare i servizi di pagamento in-app delle applicazioni freemiuim (free + premium ) aggirando le misure di sicurezza Apple e il tutto senza ausilio di Jailbreak. Le applicazioni Freemiuim sono quelle app gratuite che permettono però di procedere nel gioco acquistando bonus che permettono di sbloccare alcuni oggetti o livelli all’interno della stessa.

La notizia è stata inizialmente ripresa dal blog Russo i-ekb.ru e tramite un proxy e un device iOS, anche un utente meno esperto può aggirare i metodi di sicurezza in-app in tre semplici passaggi. Il tutto funziona anche con dispositivi iOS dalla versione 3.0 fino all’ultimo iOS 6 presentato da poco. Il metodo sembra funzionare, anche se ovviamente ne sconsigliamo a tutti l’utilizzo in quanto non se ne conoscono le conseguenze da parte di Apple e si tratta sempre di una procedura non del tutto lecita. Gli sviluppatori Apple sono già stati informati della falla e stanno già cercando di rimediare al “fattaccio”.

L’hacker e il suo metodo

L’hacker in questione ha lo pseudonimo di ZonD80 ed ha anche rilasciato un video per mostrare il funzionamento della procedura. Inoltre lo stesso ragazzo gestisce il sito  In-AppStore.com che raccoglie fondi per tenere il servizio di proxy in funzione.

I tre passaggi per aggirare gli acquisti in-app prevedono l’installazione di un certificato Ca , l’installazione del certificato  in-appstore.com e il cambio di DNS nelle impostazioni di rete. Una volta eseguito un pop-up ci avviserà del corretto funzionamento della procedura del servizio in-appstore.com A seguire ecco un’elenco delle attività scolte durante questa procedura:

  • restriction level of app
  • -id of app
  • -id of version
  • -guid of your idevice
  • -quantity of in-app purchase
  • -offer name of in-app purchase
  • -language you are using
  • -identifier of application
  • -version of application
  • -your locale

La risposta di Apple

Il metodo tuttavia non funziona con tutte le app, infatti Apple ha rilasciato un tool agli sviluppatori per validare le “ricevute” degli acquisti in-app e in questo modo è più facile identificare e bloccare questo tentativo di aggiramento degli acquisti. Sicuramente un brutto colpo per Apple che dovrà correre ai ripari in fretta.

PUBBLICATO IN:
Apple, News

Se questo articolo ti è piaciuto, condividilo:


COMMENTA