Categorie(ën): Beveiliging, Development
Apple belooft oplossing voor in-app aankoophack in iOS 6
zaterdag, 21 juli 2012 (09:08) | Gonny van der Zwaag
Apple heeft ontwikkelaars een e-mail gestuurd, waarin ze de recent ontdekte in-app aankoophack bevestigen. Eerder deze maand bleek het mogelijk om via een Russische server in-app aankopen te downloaden, zonder ervoor te betalen. Apple laat nu weten dat er in iOS 6 een permanente oplossing komt voor deze hack. Ondertussen verwijst Apple de ontwikkelaars naar een nieuwe supportpagina, waarop een workaround te vinden is. Ontwikkelaars moeten aankopen op hun eigen server valideren, in plaats van op het toestel zelf. Er worden ook een aantal oplossingen aangedragen voor ontwikkelaars die geen eigen server hebben.
Apple’s melding maakt duidelijk dat er een beveiligingslek zit in het afrekensysteem voor in-app aankopen, dat in iOS 5.1 en eerder kan worden misbruikt (ook al werd er eerder al melding gemaakt dat de hack ook in iOS 6 werkt). Een Q&A-sectie op de website van Apple bevat nog eens drie veelgestelde vragen.
Apple schrijft:
A vulnerability has been discovered in iOS 5.1 and earlier related to validating in-app purchase receipts by connecting to the App Store server directly from an iOS device. An attacker can alter the DNS table to redirect these requests to a server controlled by the attacker. Using a certificate authority controlled by the attacker and installed on the device by the user, the attacker can issue a SSL certificate that fraudulently identifies the attacker’s server as an App Store server. When this fraudulent server is asked to validate an invalid receipt, it responds as if the receipt were valid.
Vannacht kwam ook het nieuws, dat hacker Alex Borodin ook een hack heeft gevonden om het in-app aankopensysteem in de Mac App Store te omzeilen. De hack werkt op vrijwel dezelfde manier als in iOS: aankopen worden omgeleid via een server. Borodin meldt dat er inmiddels ruim 8 miljoen aankopen zijn gedaan via de hack voor iOS. Zelf lijkt hij er niet echt rijk van te worden: hij beweerde enkele honderden dollars aan in-app aankopen te hebben besteed om de hack te ontdekken, maar heeft slechts een paar dollar aan donaties ontvangen.
2 reacties op “Apple belooft oplossing voor in-app aankoophack in iOS 6”
↓ Meteen naar reactieformulier
Reacties zijn gesloten.
- 18:24
- 17:39
- 16:00
- 14:52
- 14:27
- 71.395
- 70.058
- 54.207
- 32.728
- 24.140
- Bitje zei in Nieuwe De Telegraaf iPhone-app nu verkrijgbaar [video]:
Na de update en sync had ik nog steeds de oude telegraaf app. Ik moest hem...
- mees zei in Microsoft brengt Office Mobile voor iPhone nu ook in Nederland uit:
Werkt niet voor ipod touch 4g en ipad 2, bedankt microsoft..
- sunlightzeep zei in iCulture geeft WhatsApp, Twitter en iCulture-app iOS 7 make-over:
Origineel geplaatst door voordewind: En iCulture op de iPad??...
- Ries zei in Nieuwe De Telegraaf iPhone-app nu verkrijgbaar [video]:
Zo dit is toch wel de mooiste nieuws app die ik gezien heb ! Dit is een...
- LightPhoenix zei in iCulture geeft WhatsApp, Twitter en iCulture-app iOS 7 make-over:
@Tom van Zummeren: Apps zijn backward compatible, als je iOS...
- 14:42
- 13:13
- 07:36
- 18:54
- 12:29
Ik doe daar niet aan mee vooral omdat gegevens door gestuurd worden geen echte aanrader als je het mij vraagt
Gebruik van deze hack is hetzelfde als een server rooten zonder proxy
Traceerbaar dus