Apple dodaja edinstvene identifikatorje za boj proti vdoru v nakupovanje v aplikaciji iOS

Posodobitev 20. julija - Apple bo blokiral vdore v nakupe v aplikaciji v iOS 6, ponuja začasno rešitev

Prejšnji teden Ruski razvijalec Alexey Borodin je vdrl v Applov program In-App Purchase za vse naprave, ki poganjajo vse od iOS 3.0 do iOS 6.0 (program In-App Purchase zahteva iOS 3.0 ali novejši), omogoča uporabnikom iPhonov, iPadov in iPod touch, da se izognejo plačilnemu postopku in v bistvu ukradejo vsebino v aplikaciji. Apple je potrdil rešitev in dejal, da preiskuje zadevo. Ta teden, Cupertino je poskušal blokirati vdor, a mu ni uspelo. Zdaj podjetje končno začenja ponujati pravo rešitev, čeprav še ni povsem tam.

Apple je tiho začel vključevati edinstvene identifikatorje v potrditvene račune za nakupe v aplikaciji. Včeraj so razvijalci začeli videti nove račune, ki vključujejo novo polje, imenovano "unique_identifer." Tiho rečem, ker ta ključ še ni omenjen v "Preverjanju potrdil trgovine" dokumentacijo o

Knjižnica za razvijalce iOS. MacRumors ima zajemalko:

Kot nam je povedal en razvijalec, aplikacije ne bi smele več zbirati UDID, zato ni jasno, ali Apple uporablja identifikator za ta namen je le prvi korak k širši implementaciji edinstvenih identifikatorjev potrdil za večjo varnost oz. če Apple poskuša identificirati tiste uporabnike in naprave, ki delijo svoje račune z ruskim hekerjem, da bi metodi omogočil funkcijo.

Stavim, da je prvo. Vidite, najslabši del tega vdora je, da razvijalci iOS nimajo možnosti zaščititi svojih aplikacij. Uporaba računov trgovine ne deluje kot pravi Borodin, njegova storitev preprosto potrebuje eno samo podarjeno potrdilo, ki ga lahko nato uporabi za preverjanje pristnosti nakupnih zahtev kogar koli. Njegova tehnika izogibanja temelji na namestitvi potrdil (za lažni strežnik za nakupe v aplikaciji in strežnik DNS po meri), spreminjanju Nastavitve DNS za omogočanje preverjanja pristnosti "nakupov" in končno posnemanje strežnika za preverjanje potrdil v aplikaciji Apple Trgovina.

Aplikacije za iOS obravnavajo Borodinov strežnik kot uradno komunikacijo zaradi tega, kako Apple preverja pristnost nakupa. Do zdaj ni bilo ničesar, kar bi nakup neposredno povezovalo s stranko ali napravo, kar pomeni, da je mogoče en sam kupljeni račun uporabiti znova in znova. Skratka, ta vdor pomeni, da so zahteve za nakupe v aplikaciji preusmerjene in tudi odobrene.

S temi novimi edinstvenimi identifikatorji je Apple na dobri poti, da ponudi ustrezno rešitev. Borodin je izjavil, da želi, da podjetje odpravi težavo tako, da bodisi spremeni svoje API-je bodisi postavi nove bloke v svojo storitev. Takole se mi to zdi.

Kljub temu Cupertino posreduje Apple ID-je in gesla svojih strank v čistem besedilu (Apple je domneval, da bo vedno komuniciral samo s svojim strežnikom). Naslednji podatki se prenesejo iz vaše naprave na Borodinov strežnik: stopnja omejitve aplikacije, ID aplikacije, ID različice, vodnik za napravo, količino nakupa v aplikaciji, ime ponudbe za nakup v aplikaciji, identifikator aplikacije, različico aplikacije, vaš jezik in locale. Kdorkoli upravlja in-appstore.com, bi zlahka zbiral vse poverilnice za prijavo v iTunes (kot tudi edinstvene podatke za identifikacijo naprave) v klasičnem napadu človek v sredini.

Kolikor razumem, mora Apple začeti šifrirati povezavo in posodobiti iOS, tako da se operacijski sistem zaveda izvedenih sprememb. S tem boste preprečili, da bi aplikacije odobrile lažne nakupe. Še naprej vas bom obveščal o razvoju te zgodbe.

Poglej tudi:

Posodobitev 20. julija - Apple bo blokiral vdore v nakupe v aplikaciji v iOS 6, ponuja začasno rešitev

• Vdor v nakupe v aplikaciji Apple iOS; vse je brezplačno (video)
• Apple preiskuje vdor v nakupovanje v aplikaciji iOS
• Apple poskuša blokirati vdor v aplikacijo za iOS, vendar ne uspe
• Trojanski konj na več platformah napada Windows, Intel Mac, Linux
• Nova različica Flashback tiho okuži računalnike Mac
• Novi ciljni trojanec Mac OS X ne zahteva nobene interakcije uporabnika
• Več kot 600.000 računalnikov Mac je okuženih s trojancem Flashback