QR code per la pagina originale

App Store, acquisti in-app: UDID per bloccare l’exploit

Apple fa ricorso agli UDID per tentare di bloccare l'exploit che ha consentito di scaricare contenuti in-app gratis su App Store.

,

Apple sta adottando diverse misure per bloccare l’exploit dello sviluppatore russo che consentiva a chiunque di scaricare gratuitamente dei contenuti in-app su App Store. Dopo aver bloccato l’IP dello stesso e fatto richiesta per portare offline i server, Cupertino sta includendo degli identificatori unici (UDID) per le ricevute degli acquisti in-app.

Le prime misure prese dallo staff di Tim Cook erano infatti assolutamente provvisorie – e peraltro criticate dai developer stessi, perché facilmente aggirabili dallo sviluppatore russo Alexey V. Borodin. Ad esempio ci si può spostare su un altro server e modificare il processo di signing per far sì che l’exploit possa essere nuovamente sfruttato, quindi Apple ha ritenuto che l’unica misura di sicurezza applicabile fosse un UDID nelle ricevute di convalida.

Secondo quanto riportato dalla stampa estera, numerosi developer iOS hanno notato nelle scorse ore un nuovo campo nelle ricevute d’acquisto denominato “unique_identifier”, al cui interno è possibile trovare lo Unique Device Identifier, noto come UDID e relativo a quello specifico iPhone, iPad o iPod Touch da cui si sta effettuando l’acquisto. Non è chiaro in quale modo Apple utilizzi questi UDID, ma è probabile che stia tentando di identificare quei device che stanno condividendo le proprie ricevute d’acquisto con l’hacker russo.

L’accesso agli UDID dei dispositivi con la mela morsicata aveva tra l’altro suscitato molti dibattiti in passato, soprattutto da parte dei gruppi per la tutela dei consumatori. Anche i governi si erano espressi preoccupati a riguardo e avevano chiesto ad Apple di imporre agli sviluppatori delle restrizioni all’uso degli stessi. Curioso, perciò, come proprio Cupertino abbia deciso di ricorrere proprio a questo metodo.

Notizie su: ,