Στην iOS 6, η Apple πρόκειται να φτιάξει την ευπαθή ασφάλεια που διακατέχει ολόκληρο το σύστημα αγορών του App Store και ειδικότερα τις αγορές που πραγματοποιούνται εντός των εφαρμογών. Αυτό σύμφωνα με μια ανακοίνωση που στάλθηκε σε όλους τους δημιουργούς μέσω του developer.apple.com και αναφέρει συγκεκριμένα:
A vulnerability has been discovered in iOS 5.1 and earlier related to validating in-app purchase receipts by connecting to the App Store server directly from an iOS device. An attacker can alter the DNS table to redirect these requests to a server controlled by the attacker. Using a certificate authority controlled by the attacker and installed on the device by the user, the attacker can issue a SSL certificate that fraudulently identifies the attacker’s server as an App Store server. When this fraudulent server is asked to validate an invalid receipt, it responds as if the receipt were valid.iOS 6 will address this vulnerability. If your app follows the best practices described below then it is not affected by this attack.
Ο Matthew Panzarino από το The Next Web υποδεικνύει πως η Apple εκθέτει ιδιωτικές διευθύνσεις APIs στους δημιουργούς σαν μέρος μιας προσωρινής διόρθωσης μέχρι να έρθει η τελική και επίσημη διάθεση της iOS 6 που θα διαθέτει και την πλήρη λειτουργία της επιπλέον ασφάλειας των αγορών. Συγκεκριμένα αναφέρει:
Essentially, Apple has added a hash to each transaction that is calculated based on a digital certificate. That certificate must be coded into the app by each developer. This is used to determine whether the in-app purchase receipt has come from Apple directly. The data in the receipt is used to calculate that hash so that each one is unique and can’t be faked.
Η Apple θεωρητικά ελέγχει και απορρίπτει αυτόματα μέσω του συστήματος της όλες τις εφαρμογές που κάνουν χρήση ιδιωτικών API. Ο λόγος που γίνεται αυτό είναι πολύ απλά γιατί οι δημόσιες API μπορούν να εγγυηθούν συμβατότητα σε ενδεχόμενες μελλοντικές αναβαθμίσεις σε αντίθεση με τις ιδιωτικές.
Το να γίνει κάποια εξαίρεση σε αυτήν την απαγόρευση χρήσης ιδιωτικών API είναι ανήκουστο για την εταιρεία και εξ ου και η πρόχειρη αυτή λύση της χρήσης τους μέχρι την επίσημη έκδοση της τελικής ρύθμισης, δηλαδή σε λιγότερο από τρεις μήνες.
Από την στιγμή που έγινε γνωστό το συμβάν με τον hacker που κατάφερε να «σπάσει» το σύστημα ασφαλείας των αγορών από το σύστημα της Apple, η εταιρεία βρέθηκε στο μάτι του κυκλώνα και προσπάθησε να κάνει τα αδύνατα δυνατά προκειμένου να εξασφαλίσει πρώτα τα συμφέροντα των δημιουργών και σε δεύτερη φάση τα προσωπικά δεδομένα των χρηστών.
Από την στιγμή που έγινε γνωστό το συμβάν με τον hacker που κατάφερε να «σπάσει» το σύστημα ασφαλείας των αγορών από το σύστημα της Apple, η εταιρεία βρέθηκε στο μάτι του κυκλώνα και προσπάθησε να κάνει τα αδύνατα δυνατά προκειμένου να εξασφαλίσει πρώτα τα συμφέροντα των δημιουργών και σε δεύτερη φάση τα προσωπικά δεδομένα των χρηστών.
Η iOS 6 ανακοινώθηκε στο WWDC 2012, είναι ως ώρας σε beta έκδοση, και η επίσημη ανακοίνωση της αναμένεται το φθινόπωρο σχεδόν παράλληλα με την επίσημη διάθεση του επόμενης γενιάς iPhone 5.
Μέχρι τότε οι δημιουργοί που περιλαμβάνουν στις εφαρμογές τους επιλογές για αγορές φαίνεται πως έχουν αρκετά να κάνουν ούτως ώστε να διασφαλιστούν εν όψει του προβλήματος που προκύπτει.
Για τους χρήστες ωστόσο το ενδεχόμενο να μπορέσουν να αποκτήσουν δωρεάν Στρουμφομούρα σίγουρα είναι δελεαστικό αλλά σκεπτόμενοι πως με αυτήν τους την κίνηση ανοίγουν την πόρτα σε οποιονδήποτε επιτήδειο ούτως ώστε να έχει πρόσβαση σε προσωπικά δεδομένα όπως αριθμούς πιστωτικών καρτών.
Φανταζόμαστε όλοι βέβαια την κατάληξη μιας τέτοιας ιστορίας…
Πηγή
