Hack acquisti in-app: Apple prende in mano la situazione

Spread the love

Colpo grosso per un hacker russo che è riuscito ad aggirare la sicurezza di App Store, permettendo di effettuare acquisti in-app senza spendere un soldo. Alexey Borodin è il nome dello sviluppatore che nelle scorse ore ha attirato l’attenzione di Apple e delle riviste specializzate, e proprio queste riviste si sono messe in contatto con Borodin e Apple per avere ulteriori dettagli.

Il metodo messo a punto da Borodin non necessita del jailbreak, ma solo dell’installazione di un paio di certificati e lam edifica dei DNS a cui si collega il telefono. Fatto questo chiunque può effettuare un “acquisto in-app”, attraverso una connessione automatica ai server di Borodin.

L’hack simula una vera e propria transazione con Apple, e siccome la conversazione avviene in maniera “ufficiale” per i server di Apple, non c’è modo per fermare l’hacker, almeno non tramite una modifica di App Store. L’unica soluzione sembra essere l’update delle API per gli sviluppatori. Soluzione che richiede però diverso tempo.

Nelle scorse ore Borodin si è visto contattato da diversi siti, e ha spiegato ad esempio che può leggere senza problemi il nome utente e la password di ogni acquirente. Borodin ha spiegato che anche nella comunicazione di iOS con i server di Apple i dati non vengono inviati in forma criptata, e si è detto sconvolto dalla scoperta.

Borodin è già stato cacciato dall’host che ospitava il suo sistema, e si trova ora in una posizione scomoda, tanto che pare abbia già lasciato l’intero business in mano ad un’altra compagnia. Lo sviluppatore ha fatto sapere che già 30 000 acquisti sono stati (illegalmente) portati a termine con il suo metodo, mentre lui ha ricevuto meno di 10 dollari in donazioni PayPal.

Apple ha fatto sapere a The Loop di stare indagando sulla situazione, ma al momento non sono disponibili ulteriori dettagli.

[via]

Lascia un commento