Apple tenta (invano) di bloccare la falla degli Acquisti In-App

Sono passati tre giorni da quando l’hacker russo Alexey Borodin ha svelato al mondo il metodo per aggirare il sistema di acquisti in-app delle applicazioni iOS consentendo a chiunque, anche senza jailbreak, di effettuare qualsiasi acquisto a costo zero! Nel frattempo Apple, dopo aver promesso di investigare per risolvere il problema, ha cercato di arginare la falla, bloccando gli IP dei server russi incriminati e mettendo i bastoni tra le ruote alle operazioni dell’hacker russo. Eppure ancora oggi la falla rimane aperta e l’operazione fraudolenta è ancora possibile per qualsiasi utente.

Oltre al blocco degli IP utilizzati da Borodin, Apple è riuscita ad ottenere la sospensione del server originale e la rimozione da YouTube a causa di “violazione di copyright” del video, che vi abbiamo mostrato la volta scorsa, nel quale vengono mostrati i passaggi da eseguire per scaricare gratuitamente un qualsiasi contenuto in-app. In ultima istanza, Apple, grazie ad accordi con PayPal, ha bloccato l’account verso il quale l’hacker indirizzava gli utenti per le donazioni. Ma il russo ha prontamente preparato la contro mossa … 

Come abbiamo indicato nel titolo, tutti i tentativi di Apple sono risultati vani. Alla chiusura del server originale situato in Russia, il servizio è migrato su nuovi server hostati in paesi offshore, irraggiungibili dai legali di Apple. Borodin ha rivelato a The Next Web che il servizio è stato migliorato in modo tale da non richiedere un contatto diretto con i server di Apple, e quindi il bisogno funzioni proxy per le autenticazioni d’acquisto. L’hacker russo è inoltre riuscito a consentire di effettuare gli acquisti senza dover essere loggati con il proprio account iTunes: in questo modo Borodin si protegge dall’accusa di voler utilizzare le credenziali dei suoi utenti, rischio che aveva pervaso molti a non effettuare l’operazione di acquisto in-app gratuito. Come ultima contromossa, Boridin ha creato un nuovo account PayPal privato, così da consentire ulteriori donazioni. In poche parole: malgrado i tentativi di Apple, il servizio lanciato dall’hacker russo rimane ancora operativo, per la “gioia” degli sviluppatori iOS.

Va però precisato un dettaglio essenziale. Apple non è teoricamente responsabile direttamente della sicurezza “all’interno” delle applicazioni, visto che offre a tutti gli sviluppatori la possibilità di adottare gli strumenti messi a disposizione dell’SDK iOS per sanare la falla degli acquisti-in app. Come già saprete, il metodo messo in luce dall’hacker russo non va a buon termine con tutte le applicazioni. Questo perché Apple offre precise istruzioni per come verificare l’autenticità di un acquisto in-app non tramite i propri server, ma sta poi allo sviluppatore il compito di inserire le opportune stringhe di codice nelle proprie applicazioni. Il sistema sviluppato da Borodin non fa altro che emulare la verifica dell’acquisto da parte dei server di Apple, ma se lo sviluppatore ha opportunamente indirizzato questa verifica verso i propri server, l’operazione fraudolenta è interdetta. Ciò non limita Apple nelle possibilità d’azione: una tra queste potrebbe essere l’aggiornamento delle API in questione o la criptatura delle richieste di verifica dell’acquisto.

AGGIORNAMENTO:

Apple fa eliminare il video tutorial creato dall’hacker russo? E lui ne rimette uno nuovo online, con tanto di musica e screen recording da iPad: