Apple belooft oplossing voor in-app aankoophack in iOS 6

Apple heeft iOS-ontwikkelaars een e-mail gestuurd, waarin ze een oplossing beloven voor de Russische in-app aankopen-hack. In iOS 6 komt een oplossing. Ondertussen zijn er workarounds beschikbaar.

in app purchaseApple heeft ontwikkelaars een e-mail gestuurd, waarin ze de recent ontdekte in-app aankoophack bevestigen. Eerder deze maand bleek het mogelijk om via een Russische server in-app aankopen te downloaden, zonder ervoor te betalen. Apple laat nu weten dat er in iOS 6 een permanente oplossing komt voor deze hack. Ondertussen verwijst Apple de ontwikkelaars naar een nieuwe supportpagina, waarop een workaround te vinden is. Ontwikkelaars moeten aankopen op hun eigen server valideren, in plaats van op het toestel zelf. Er worden ook een aantal oplossingen aangedragen voor ontwikkelaars die geen eigen server hebben.


Apple’s melding maakt duidelijk dat er een beveiligingslek zit in het afrekensysteem voor in-app aankopen, dat in iOS 5.1 en eerder kan worden misbruikt (ook al werd er eerder al melding gemaakt dat de hack ook in iOS 6 werkt). Een Q&A-sectie op de website van Apple bevat nog eens drie veelgestelde vragen.

in-app-purchase

Apple schrijft:

A vulnerability has been discovered in iOS 5.1 and earlier related to validating in-app purchase receipts by connecting to the App Store server directly from an iOS device. An attacker can alter the DNS table to redirect these requests to a server controlled by the attacker. Using a certificate authority controlled by the attacker and installed on the device by the user, the attacker can issue a SSL certificate that fraudulently identifies the attacker’s server as an App Store server. When this fraudulent server is asked to validate an invalid receipt, it responds as if the receipt were valid.

Vannacht kwam ook het nieuws, dat hacker Alex Borodin ook een hack heeft gevonden om het in-app aankopensysteem in de Mac App Store te omzeilen. De hack werkt op vrijwel dezelfde manier als in iOS: aankopen worden omgeleid via een server. Borodin meldt dat er inmiddels ruim 8 miljoen aankopen zijn gedaan via de hack voor iOS. Zelf lijkt hij er niet echt rijk van te worden: hij beweerde enkele honderden dollars aan in-app aankopen te hebben besteed om de hack te ontdekken, maar heeft slechts een paar dollar aan donaties ontvangen.

Reacties: 2 reacties

Reacties zijn gesloten voor dit artikel.