Hack AppStore : fix sur iOS, attaque sur Mac OS
Apple va définitivement (pour un temps, du moins) régler le problème du piratage des micro-paiements avec iOS 6. En attendant, il faudra que les développeurs emploient de nouvelles tactiques pour éviter que des utilisateurs indélicats puissent profiter du système mis en place par le hacker Alexey V. Borodin, entre autres en générant de nouveaux certificats pour les apps.
«Nous recommandons aux développeurs de suivre les meilleures pratiques sur le site developer.apple.com», conseille Cupertino, «afin de s’assurer qu’elles ne sont pas vulnérables aux achats in-app frauduleux». Sur le portail en question, Apple reconnait l’existence d’une vulnérabilité au sein d’iOS 5.1… et bientôt, de Mac OS X ?
in-appstore
Borodin a en effet mis au point un système identique, mais cette fois destiné aux micro-paiements des apps du Mac App Store ! Le hacker utilise le même procédé, en reroutant sur son serveur les requêtes pour les achats in app. L’utilisateur n’a qu’à installer des certificats sur le Mac pour activer la redirection DNS.
D’après Borodin, ce sont en tout 8,46 millions de transactions qui ont été effectuées via sa bidouille. Apple va devoir renforcer la sécurité sur ses deux plateformes…
