Apple публикует FAQ о том, как обезопасить покупки внутри приложения

14

App Store

Компания Apple, внутри магазина приложений которой недавно обнаружилась брешь в защите покупок, совершаемых внутри приложений и игр, опубликовала на своем официальном сайте краткий список вопросов и ответов для разработчиков. Если вы являетесь таковым, а в вашем приложении есть возможность совершения In-App Purchase, то мы настоятельно рекомендуем вам ознакомиться с этим списком.

В iOS 5.1 и более ранних версиях была обнаружена уязвимость, из-за которой путем подмены адреса DNS-сервера злоумышленник мог нелегально подтверждать покупки, совершаемые внутри приложений прямо с iOS-устройства. Подмена DNS-сервера позволяла перенаправлять запросы на сервера злоумышленников. Использование сертификата авторизации, контролируемого злоумышленником и установленного на устройство пользователя, делало возможным использование SSL-сертификата, который в свою очередь определял нелегальный сервер как официальный сервер App Store. В iOS 6 эта ошибка будет устранена.

Те разработчики, которые не захотят ждать осеннего релиза новой версии мобильной операционной системы Apple, наверняка задумаются о том, как в максимально короткие сроки обезопасить свои приложения от подобной мошеннической активности. Именно для них был опубликован список вопросов и ответов, касающихся данного вопроса. Ознакомиться с ним можно по этой ссылке на сайт Apple.

14 комментариев

  1. 0
    Андрей Рахманов

    Сейчас набежит народ и будет плакаться. Зачем же такую хорошую вещь прикрывать!?

  2. 0

    Блииин зачем такую хорошую весчь закрыли 😉 а если серьезно то могли бы и быстренько патчик сляпать! (отправлено из приложения AppleInsider.ru)

    • 0

      SayPlz, Какой нафиг «патчик»? 🙂
      Вы вообще в курсе, в чем уязвимость?

      • 0

        ZeoS, Не интересовался… Но исходя из того что apple собирается закрыть уязвимость в ios 6 могу представить что это будет программно, оттуда и слово патч! (отправлено из приложения AppleInsider.ru)

        • 0

          SayPlz, Не все так просто.

          Во-первых, обновятся не все.
          Во-вторых, до релиза шестерки осталось несколько месяцев.

  3. 0
    Эльдар Муртазин

    А ведь это было так удобно. Я наконец-то прошел Infinity Blade. И вообще появилось чувство того, что я стал успешным. Девушки на улицах стали бросаться мне на руки, а мужчины смотреть с завистью. А девушки в бикини стояли в очереди чтобы помыть мой автомобиль. Карма на хабре резко выросла. Я начал любить жизнь. Я начал вкушать её. Ненавижу Apple 🙁

  4. 0
    Olovyannikov

    Интересно, это самизнаетеиз-закого и самизанетезачто? 😉 если это так, то за того хакера нужно пойти поставить свечку 🙂 хотя сам виноват, начав лазить по ТАКИМ файлам, которые бы явно понесли больше последствий, чем попытка покопаться в файлах. Этот CSR Racing легко ломался, по крайней мере до версии 1.0.7, а до этого мы напару с парнем на 4PDA, просто перебрали некоторое количество страниц, а с появлением новой версии меняли значения кодировки версии. Да, это я о наслышаной базе CSR Racing.
    Я придерживаюсь мнения, что этот хакер способствовал концентрированию внимания на этой проблеме. (отправлено из приложения AppleInsider.ru)

Авторизуйтесь Чтобы оставить комментарий