QR code per la pagina originale

App Store, un exploit regala contenuti in-app

Un exploit realizzato da uno sviluppatore russo consente di acquistare gratuitamente i contenuti in-app offerti dalle applicazioni presenti in App Store.

,

Problemi di sicurezza in arrivo per l’App Store: nelle scorse ore è infatti giunto alla ribalta un exploit realizzato dallo sviluppatore russo noto con lo pseudonimo ZonD80, il quale riesce ad aggirare le misure di protezione del negozio virtuale di Cupertino al fine di fornire agli utenti gratuitamente i contenuti a pagamento acquistabili mediante in-app purchase. Eseguendo tre soli step, senza la necessità di effettuare alcuna operazione di jailbreak del proprio terminale, è quindi possibile scaricare contenuti dalle app gratuitamente.

I tre step in questione risultano essere particolarmente semplici da eseguire ed hanno l’obiettivo di installare alcuni certificati e modificare le impostazioni dei DNS della propria rete al fine di usufruire degli strumenti messi a disposizione dal server allestito dallo sviluppatore. Una volta terminata la fase di configurazione, provando ad acquistare un contenuto a pagamento da una qualsiasi app si riceve un messaggio differente da quello usuale, il quale invita l’utente ad esprimere il proprio gradimento nei confronti di In-appstore.com, sito web cui fa riferimento il progetto.

Secondo le prime stime, sarebbero oltre 30 mila le installazioni di contenuti a pagamento effettuate dagli utenti di tutto il mondo fino ad ora sfruttando tale sistema. Una cifra, questa, che sarebbe potuta essere ben più elevata: come registrato da svariati utenti, infatti, l’exploit non sembra funzionare con tutte le applicazioni presenti in App Store, probabilmente a causa di un sistema di cifratura messo a disposizione da Apple ed utilizzato da alcuni sviluppatori, le cui app sarebbero così al sicuro.

ZonD80, l’autore dell’exploit, si è giustificato con i media di tutto il mondo sottolineando come il tutto sia nato esclusivamente come hobby, anche se alle spalle dell’iniziativa sembrerebbe esservi anche una sorta di sfida lanciata nei confronti degli sviluppatori del videogame per iOS CSR Racing. Nel prosieguo di un’intervista concessa a MacWorld, poi, Alexey V. Borodin (questo il nome dello sviluppatore russo) ha sottolineato come il suo server sia in grado di salvare informazioni relative agli utenti che effettuano la procedura, inclusi username e password in chiaro, sorprendendosi di come tali dati non siano scambiati dai dispositivi iOS in maniera cifrata.

Apple, d’altro canto, ha provveduto già a diramare un comunicato ufficiale nel quale sottolinea come sia all’opera per comprendere le cause di tale problema ed individuare una soluzione che possa arginare la falla. Una falla che potrebbe costare molto cara agli sviluppatori, i cui ricavi risultano essere particolarmente compromessi da un simile exploit.

Fonte: 9to5Mac • Via: PCWorld • Notizie su: