Ce contournement exploite une faiblesse du mécanisme des achats in-app avec une disposition classique de type man-in-the-middle. Après avoir modifié des certificats et des DNS, c'est le serveur du développeur de ce hack qui répond aux appels des achats in-app, plutôt que ceux d'Apple (avec les risques de sécurité que cela représente). Il renvoie une réponse valide, et l'achat passe sans que l'utilisateur n'ait rien à payer.
Apple a effectué ces derniers jours plusieurs modifications semble-t-il destinées à au moins observer ce mécanisme. En attendant iOS 6 et le règlement de cette faille, c'est aux développeurs de s'assurer que leurs apps ne seront pas bernées par les certificats envoyés par le faux serveur. Le document fourni ce soir par Apple est entièrement consacré à cette question, et fait le point sur les « bonnes pratiques » en matière de validation des achats in-app. La firme de Cupertino permet de plus aux développeurs d'accéder à deux nouvelles APIs jusqu'ici privées pour chiffrer et vérifier leurs reçus in-app directement auprès des serveurs d'Apple.
[Via 9to5 Mac]