In questi giorni sta facendo molto discutere la vicenda relativa all’exploit di un hacker russo in grado di permettere a chiunque di scaricare gratuitamente qualsiasi contenuto in-app. Dal canto suo, tuttavia, sembra che Apple stia introducendo delle contromisure volte a combattere tale hack tramite degli identificatori unici per le ricevute dagli acquisti In-App.
La scorsa settimana è stato lanciato un hack, diffuso da un hacker russo, in grado di permettere a qualsiasi utente di ottenere dei contenuti in-app in modo del tutto gratuito attraverso un reindirizzamento delle richieste di acquisto verso un server gestito da Alexey V. Borodin. Nonostante l’azienda di Cupertino abbia cercato immediatamente di mettere in atto contromisure per bloccare l’exploit in questione l’hacker ha continuato a sviluppare il proprio metodo così da aggirarle, spostandosi ad esempio su un server fuori dalla portata della compagnia e modificando il processo di signing.
Una possibile soluzione per migliorare considerevolmente la sicurezza della procedura per l’acquisto di contenuti in-app era quella di introdurre un sistema di identificatori unici nelle ricevute di convalida, e secondo quanto riportato da MacRumors sembra che gli sviluppatori abbiano riscontrato, a partire dalla giornata di ieri, qualcosa di simile. Le ricevute infatti contengono ora un nuovo campo chiamato “unique_identifier” al cui interno è possibile ritrovare apparentemente lo Unique Device Identifier, anche noto come UDID, relativo al dispositivo che sta effettuando l’acquisto.
Pur rappresentando probabilmente un tentativo di aumentare la sicurezza degli acquisti in-app, è importante notare come l’uso degli UDID sia una faccenda piuttosto strana, soprattutto visto il divieto imposto da Apple per quanto riguarda la raccolta proprio degli UDID. E’ possibile tuttavia che quello di Apple sia un tentativo per identificare i dispositivi che, tramite l’exploit in questione, stanno condividendo le proprie ricevute con l’hacker così da permettere il funzionamento del metodo.
Oltre a quanto appena descritto Apple, nei giorni scorsi, ha lavorato affinché venissero rimossi i video dimostrativi dell’hacker Borodin, spingendo inoltre il provider a sospendere il supporto ai server utilizzati in precedenza.
[via]