Apple, iPhone, Popular

Apple pone medidas para acabar con las compras In-App robadas



El viernes pasado recogimos una noticia por la que un hacker ruso, Alexey V. Borodin consiguió un método de hacerse con aplicaciones del programa in-app-purchases destinado a desarrolladores, de hecho se trata de una forma de conseguir beneficios con las aplicaciones, es por esto que la comunidad de desarrolladores iOS está alertada. Apple por su parte ha tomado medidas este fin de semana aunque parece que no han sido efectivas ante este hacker de origen ruso.

Apple tomó las siguientes acciones este mismo fin de semana: (tras el salto)

El fin de semana, Apple comenzó el bloqueo de la dirección IP del servidor utilizado por el ruso Alexey V. hacker de Borodin para autenticar las compras.

Siguió a esto con una solicitud de derribo en el servidor original, anotando la autenticación de terceros con ella, también la emisión de una reclamación de derechos de autor en el vídeo de introducción Borodin utilizado para documentar el método de elusión. PayPal también se involucró, la colocación de un bloque en la cuenta original de la donación por la violación de sus términos de servicio

Aunque como decimos no ha sido muy efectivo, ya que Borodin  ha conseguido mover el servidor a una ubicación fuera de Rusia. “El nuevo servicio se ha actualizado y recorta los servidores de Apple“, según el propio hacker.

Además durante el fin de semana Borodin ha mejorado el protocolo para incluir su propia autorización en los procesos de transacción. El nuevo método permite registrarse sin llegar a la App Store, desactivando el servidor proxy.

Borodin afirmó que ha cambiado el proceso de obligar a los usuarios a cerrar la sesión de su cuenta de iTunes tras usarla, para asegurar que los usuarios no se roban los datos personales o tarjetas de crédito.

Según Alastair Houghton, desarrollador iOS dijo que el cree que el método de Borodin se podría utilizar para interceptar el tráfico destinado a cualquier otro sitio web seguro:

el método que el Sr. Borodin está utilizando para burlar el sistema de Apple que verifique el recibo también, si así lo deseaba, le permiten interceptar el tráfico destinado a cualquier otro sitio web seguro, incluidos los sitios bancarios en particular. Por otra parte, no habría ninguna indicación en un dispositivo configurado para confiar en su certificado y usar su servidor DNS que algo estaba mal. Si quiere terminar con una cuenta bancaria vacía, siguiendo las instrucciones de este tipo que resultan en el DNS y la confianza de certificados bajo el control de una tercera parte es un poco confiables * realmente * buena manera de hacerlo.

[9To5Mac]





Previous ArticleNext Article
Autor en idamovil. Freak de la tecnología y de todo lo relacionado con Apple.