Falha no iOS permite compras dentro dos aplicativos sem pagar nada

Um hack que permite aos usuários iOS enganarem App Store para fornecer a eles compras dentro de apps (in-app purchases) tornou-se público, podendo causar prejuízo para os desenvolvedores e dor de cabeça para a Apple.
A falha foi primeiramente vista na quarta-feira, 10/7, mas ficou “famosa” na manhã de hoje, após ser noticiada por vários sites. Na verdade, o hack provou ser tão popular que o servidor por trás dele estava fora até o fechamento dessa reportagem por causa da forte demanda.)
O russo Alexey V. Borodin é o responsável pelo hack, que exige vários passos – incluindo instalar certificados falsos no seu aparelho iOS, e usar um servidor DNS criado especialmente para isso. Esses ingredientes se combinam para levar os apps a acreditar que estão se comunicando com a App Store, quando na verdade eles estão indo para um servidor web que finge ser a loja da Apple. 
Em entrevista para a Macworld dos EUA, Borodin disse que seu hack funciona em parte ao fingir – ou “enganar”- os recibos de código que a Apple utiliza para compras dentro de apps que os desenvolvedores usam para  validação, com o aparelho iOS configurado para acreditar erroneamente que esses recibos estão vindo diretamente da Apple.
Falando com a Macworld por meio de mensagens instantâneas, o hacker afirmou que, como “todo recibo dentro de app é genérico” e não contém nenhum dado direto do usuário, esses recibos eram “fáceis de serem imitados”.
iPhone4s300
Mas por que ele quis fazer isso? “É o meu hobby”, disse. “E é um desafio para CSR Racing.” Esse é um game iOS com um modelo freemium. Apesar de o jogo ter o download gratuito, ele oferece uma variedade de compras dentro do app para destravar opções e recursos extras dentro do jogo. Borodin desaprova essa prática. “Eu criei isso (o hack) por causa de desenvolvedores preguiçosos e gananciosos.. Estava muito nervoso em ver esse desenvolvedor do CSR Racing tirando dinheiro de cada respiro meu.”
Em entrevista para a CNET, a Apple afirmou que já está investigando o caso, mas não soube informar quando uma medida será tomada.
Via: IDG Now

Anúncios
Esse post foi publicado em HACKER, iOS, SEGURANÇA. Bookmark o link permanente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s