App Store, contenuti in-app gratis con un exploit

Uno sviluppatore russo, noto con l’username ZonD80, è riuscito ad aggirare le misure di sicurezza prese per App Store provvedendo a fornire agli utenti un metodo veloce per scaricare contenuti in-app gratuitamente. In soli tre passi e senza la necessità di avere un dispositivo jailbroken, tramite tale exploit non è più dunque necessario alcun esborso economico per i contenuti in-app a pagamento offerti dalle applicazioni per iOS.

I tre passi sono di facile esecuzione e, seguendo la procedura, l’utente va a installare alcuni certificati e a modificare le impostazioni DNS della propria Rete al fine di usufruire della possibilità offerta dal non proprio onesto developer. Una volta conclusa la configurazione, acquistando un contenuto in-app su App Store l’utente vedrà sul display del proprio dispositivo un messaggio differente da quello solitamente mostrato da Apple.

In poche ore dalla diffusione di questo exploit, sarebbero state oltre 30.000 le installazioni illecite di contenuti in-app effettuate a livello globale, un numero che sarebbe potuto essere anche più alto se non fosse che l’exploit non pare funzionare con tutte le applicazioni disponibili sullo store virtuale di Cupertino. A ogni modo, per gli sviluppatori iOS si tratta di un grosso problema a cui Apple dovrà far fronte molto presto. L’azienda di Tim Cook ha già reso noto di esser al lavoro sul problema.

Contattato da MacWorld, lo sviluppatore russo – Alexey V. Borodin – ha spiegato che il suo sistema sfrutta ciò che può essere percepito come un buco di sicurezza nel sistema di acquisti Apple: c’è da sottolineare però che il suo server è in grado di salvare informazioni degli utenti che effettuano la procedura, compresi nomi utente e password, e di conseguenza appare chiaro come la sicurezza degli stessi sia a rischio.