SEGURIDAD | Noticias | 16 JUL 2012

Apple busca soluciones al método del hacker ruso de las compras in-app gratuitas

Tags: Actualidad
Un hacker explota un error de iOS para engañar al App Store de Apple dando compras gratuitas.
PCWORLD PROFESIONAL

Existe un procedimiento que permite a los usuarios de iOS conseguir comprar gratuitamente desde las aplicaciones del App Store de Apple, y esto es una gran preocupación por el alto coste en ingresos que potencialmente supone para los fabricantes de las apps.

La existencia del exploit se publicó por primera vez el miércoles de la semana pasada, pero alcanzó su máxima difusión en la madrugada del viernes, momento en el que el hack se hizo tan popular que el servidor se cayó debido a la demanda.

El ruso Alexey V. Borodin construyó el método de compra del contenido desde las aplicaciones, que requiere diversos pasos, como la instalación de certificados falsos en tu dispositivo, y el uso de un servidor DNS especialmente diseñado. Estos ingredientes se combinan para engañar a las aplicaciones que creen que se están comunicando con la App Store, cuando en realidad van a un servidor Web que se hace pasar por la App Store. Según sus declaraciones a la edición estadounidense de la revista Macworld, Borodin cree que gran parte del éxito está en la falsificación de los recibos de código que Apple emite para las compras in-app, los cuales tienen que validar los desarrolladores, con el dispositivo iOS configurado para creer erróneamente que esos recibos vienen directamente desde Apple.

Dado que “cada recibo in-app es genérico” y no contiene datos directos del usuario, son “fáciles” de imitar, explicó a Macworld el hacker, que lo hizo como “hobby”.

 El hecho de que Borodin haya conseguido explotar una aparente debilidad del sistema de Apple preocupa tanto a la empresa como a los desarrolladores. Natalie Harrison, portavoz de Apple, declaró que “la seguridad del App Store es sumamente importante para nosotros y la comunidad de desarrolladores. Nos tomamos muy en serio todos los informes de actividad fraudulenta y estamos investigando”. La compañía no ha hecho más comentarios.

La revista Macworld también habló con el desarrollador Marco Tabini, que considera que “el exploit no se debe a la incompetencia del desarrollador”, sino a que el sistema de validación de la recibo por parte de Apple es deficiente. “Simplemente la validación de un recibo no es suficiente”. Para él, Apple debe utilizar un secreto compartido, una especie de código secreto que sólo conozca la empresa y la aplicación.

¿Y ahora qué?

Para Apple no será muy difícil solucionar este tema. Según Tabini, “no puedo pensar en una forma más fácil de resolver este problema sin una actualización de iOS. Aunque los servidores sobre los que actúa el exploit de Borodin no están en funcionamiento actualmente, no hay nada que lo detenga cuando brote de nuevo, o incluso que lo bloquee al lanzar el código de manera que cualquiera lo pueda ejecutar.  Eso significa que los clientes que no instalen la presunta actualización iOS que parchearía esta vulnerabilidad podrían, en teoría, seguir aprovechándose de las compras in-app gratuitas para apps que se sigan validando como siempre se ha hecho.

Apple también podría cambiar la forma en la que los desarrolladores de aplicaciones validan sus recibos, lo que parece una necesidad, pero ese proceso llevará su tiempo. Mientras tanto, los desarrolladores pueden proteger sus aplicaciones contra el exploit cambiando a una validación del recibo segura, basada en Web. Pero esa solución sólo funcionará para los usuarios que se actualicen a la última versión de sus aplicaciones.


 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información