Le piratage des achats in-app corrigé dans iOS 6

Anthony Nelzin-Santos |

App StoreApple a publié ce soir un document à destination des développeurs faisant le point sur la sécurisation des achats in-app, quelques jours après la découverte d'une méthode de contournement du système. Premier point, ce problème sera complètement résolu dans iOS 6.

Ce contournement exploite une faiblesse du mécanisme des achats in-app avec une disposition classique de type man-in-the-middle. Après avoir modifié des certificats et des DNS, c'est le serveur du développeur de ce hack qui répond aux appels des achats in-app, plutôt que ceux d'Apple (avec les risques de sécurité que cela représente). Il renvoie une réponse valide, et l'achat passe sans que l'utilisateur n'ait rien à payer.

Apple a effectué ces derniers jours plusieurs modifications semble-t-il destinées à au moins observer ce mécanisme. En attendant iOS 6 et le règlement de cette faille, c'est aux développeurs de s'assurer que leurs apps ne seront pas bernées par les certificats envoyés par le faux serveur. Le document fourni ce soir par Apple est entièrement consacré à cette question, et fait le point sur les « bonnes pratiques » en matière de validation des achats in-app. La firme de Cupertino permet de plus aux développeurs d'accéder à deux nouvelles APIs jusqu'ici privées pour chiffrer et vérifier leurs reçus in-app directement auprès des serveurs d'Apple.

[Via 9to5 Mac]

Tags
#sécurité #iOS 6 #Achats In-App
avatar Oh la belle Pomme | 
Quand on veut, on peut ! Rien d'autre a ajouter (pour le moment...(mais je reviendrais...niarf !)).
avatar eldaran83 | 
@iSc0tty : Ici, ce n'est pas un faille de sécurité à proprement parler. Ça n'a aucune incidence sur les données du terminal. Par contre, pour les revenus d'Apple...
avatar Kevelian | 
Je ne cautionne pas ce hack (ni les autres) mais ces achats in-app sont clairement un abus en ce qui me concerne je joue a ces jeux gratuitement et je ne dépense jamais un Kopek en achat in-App si un jeu me plait je paye le prix ou les MAJ ( like : where is my water) , mais je refuse de payer des achats in-app pour avoir des "bitcoin" et avancer dans un jeu ... Je pense sincèrement ne pas être le seul a penser la même chose, quand j'achète un jeu pour ma DS (ou autre) je paye le prix et après je joue comme j'en ai envie, si je n'ai pas les moyens (ce qui n'est pas le cas) je n'achète pas le jeu ou l'appli mais ce racket des in-app est une fumisterie de première
avatar UnknownMan | 
Il ne faut pas abuser quand même des jeux à 0,79 ou 1€.... Le dev doit quand Même gagner sa vie. C'est du vol ce hack point. Pourquoi pas voler son patron ou une banque aussi
avatar UnknownMan | 
Encore heureux que le dev ne puisse porter plainte pour vol puisque confidentialité utilisateur oblige . Pour plus de confort de ..... et de...... Il existe des consoles de salon avec des jeux à 50€,60€ Je n'ai pas plus d'argent qui x ou y mais je respect le travail des autres et idem pour le jailbreak chose formidable pour son ouverture , mais jailbreaker pour après encore une fois voler les applications ❔❔❔
avatar Lou117 | 
En gros apple n'a rien corrigé pour le moment. Une mise à jour d'ios 5 serait préférable que d'attendre ios 6...
avatar fornorst | 
Si je comprends bien il n'y à pas grand chose à corriger à part les bonnes pratiques de développement. Par contre Apple semble permettre l'accès à des API améliorant ces pratiques Donc "où est le problème?" comme dirait un de mes clients.

CONNEXION UTILISATEUR