Las compras in-app (posibilidad de realizar compras desde la propia aplicación) son noticia estos días. No por sus numerosas ventas sino por un fallo descubierto en la API de Apple que podría haber permitido más de 30.000 ventas falsas.
Alexey Borodin ha conseguido mediante la instalación de unos certificados y el cambio de las DNS del teléfono realizar compras sin que se llegue a realizar ningún cargo en nuestra cuenta.
El funcionamiento es el siguiente. Borodin con el cambio de DNS e instalación de certificados era capaz de interceptar las compras in-app en su servidor en lugar del de Apple. Este servidor devolvía a la aplicación un certificado de compra haciendo pensar a la app que el pago se había realizado.
Además, en caso de que las aplicaciones pidan verificar el certificado de compra nuevamente el servidor volverá a interceptar la petición y responderá que sí, que es válido.
Como veis, malas noticias para muchos desarrolladores que veían en las compras in-app una forma de ofrecer aplicaciones gratuitas y obtener beneficios a posterior.
Apple ha realizado un comunicado donde comentan la importancia de la seguridad de la App Store para ellos y su comunidad de desarrolladores. Además afirman que están investigando el asunto pero que el método no funciona en todas las aplicaciones. Igualmente, aunque se pueda realizar este hack para conseguir compras sin pagar no es nada recomendable. Y es que, los usuarios estarían enviando información sobre sus cuentas de iTunes Store a servidores rusos.
Es implica un grave problema para los usuarios que se lancen a conseguir compras sin pagar ya que estarán entregando datos personales pero lo más importante, sus números de tarjetas asociadas a su cuenta de iTunes.
Veremos qué métodos aplican los desarrolladores para evitar estas perdidas o si tendrán que esperar a la corrección por parte de Apple en su API. Lo menos malo es que mantener un servidor para tales funciones es caro por lo que quien quiera imitar a Borodin no lo tendrá tan fácil.
Vía | Genbeta | The Next Web
En Applesfera | Los desarrolladores quieren más seguridad en sus aplicaciones de pago
Ver 95 comentarios