Rappelez-vous, il y a quelques jours nous parlions d’un pirate russe ayant réussi à contourner les achats In-App grâce à la mise en place de serveurs et d’adresses IP permettant de créer un leurre pendant la transaction. Et tout ça sans Jailbreak ! Retrouvez notre article ici. Suite aux mouvements des développeurs et à l’intérêt que porte Apple à la sécurité de son système iOS, elle semble avoir trouver comment parader le hackeur.

Apple a commencé à envoyer des mails aujourd’hui à tous les développeurs avec plus d’informations concernant l’exploit récemment découvert pour les achats In-App. Le mail contient un lien vers une nouvelle page du site web Dev d’Apple, fournissant aux développeurs la solution temporaire. Elle précise également qu’un patch sera disponible dans l’iOS 6.

Notez que cette faille a provoquer la perte de plusieurs milliers de dollars pour les éditeurs d’applications. C’est donc un gros manque à gagner !

Voici un extrait du communiqué :

« Une vulnérabilité a été découverte dans iOS 5.1 et plus tôt liée à la validation des d’achat In-App en se connectant au serveur App Store directement à partir d’un appareil iOS. Un attaquant peut modifier la table DNS pour rediriger ces requêtes à un serveur contrôlé par l’attaque. Utiliser une autorité de certification contrôlé par l’attaquant et installé sur l’appareil par l’utilisateur, l’attaquant peut délivrer un certificat SSL qui identifie le serveur de manière frauduleuse qui attaque le serveur de l’App Store. Lorsque ce serveur frauduleux est demandé pour valider un reçu non valide, elle répond comme si la réception était valide. « 

Apple apporte des réponses sur 3 questions principales que peuvent se poser les développeurs :

  • Mon application valide les achats In-App en se connectant à mon propre serveur. Suis-je affecté ?
  • Mon application valide les achats In-App en se connectant directement aux serveurs de l’App Store. Suis-je affecté ?
  • Comment puis-je valider les transactions déjà effectués ?

Retrouvez en détails le communiqué d’Apple sur ce lien.

Suivez-nous sur :

– Twitter : @iPhonote

– Facebook : BlogiPhonote

Suivez-moi sur :

– Twitter : @iPhoStaff

Partager un commentaire