La nueva versión del AppStore 3.0 se pueden realizar compras in-app, es decir, comprar alguna característica de un juego o aplicaciones pero dentro de la misma usando como medio el AppStore para llevar a cabo la compra, el detalle es que este sistema además de ser bastante útil presenta fallas de seguridad como lo demostró Alexey Borodin.
Borodin aplico un ataque MITM ( Man in the middle), que consiste en la instalación de certificados de seguridad y cambiar unos DNS para que la conexión llegue al servidor que esta en su maquina y no al AppStore como tal. El servidor devuelve un certificado de compra, que imita al que devuelve el AppStore haciendo pensar a la aplicación de que ya se efectuó el pago sin problema. Para poder llevar a cabo dicho hackeo, se necesita es un certificado de compra legal para que siempre sea devuelto y así se puede comprar ilimitadamente.
Usando esta técnica se estima que al menos se pudieron haber hecho 30.000 ventas falsas de aplicaciones.
Así que Apple se tiene que poner a chequear como eliminar esta vulnerabilidad.
Fuente:GENBETA
No hay comentarios:
Publicar un comentario