As aplicações para iOS permitem adquirir mais serviços in-app (comprar níveis de jogos ou mais capacidades da aplicação) sem sair da própria aplicação. Esta função está a ser notícia no meio dos developrs e não é pelos melhores motivos. Foi descoberta uma falha na API que poderá ter permitido mais de 30 mil falsas vendas.
O método foi descoberto pelo hacker Alexey Borodin que conseguiu, mediante a instalação de uns certificados e a alteração dos DNS do smartphone, realizar compras sem que lhe chegue qualquer custo à sua conta. Inicialmente o hacker criou online um serviço, in-appstore.com que ajudava a fazer todo o processo a quem quisesse participar nesta ilegalidade.
Segundo o hacker o processo é simples, com a alteração do DNS e a instalação de certificados é possível interceptar as compras in-app no seu servidor em vez do servidor da Apple. Este servidor devolvia à aplicação um certificado de compra fazendo a aplicação pensar que a compra estava feita e que o pagamento pedido estava também debitado no ID do cliente Apple.
No entanto o método não se ficava por aqui, até porque a aplicação poderia verificar o certificado de compra novamente e neste caso o servidor voltava a interceptar o pedido e voltava a responder que sim, que o certificado era válido.
Claro que estas são péssimas notícias para os programadores que estão a ver as suas fontes de rendimento afectadas por malabaristas, como é usual os programadores oferecem a aplicação gratuita, limitada, e posteriormente esta, para oferecer mais níveis ou mais funções, chama o seu atributo in-app para permitir comprar os tais níveis e abrir as funções seguintes. Com estas ilegalidades o “cliente” nunca irá adquirir nenhum outro nível/serviço ou versão completa pois poderá “comprar” de borla.
A Apple lançou um comunicado onde comenta a importãncia da segurança para a sua comunidade de programadores e afirma que está a investigar o sucedido referindo também que este método não funciona para todas as aplicações que requerem funções in-app. O método só por si também não é nada prático até porque estão a passar a hackers russos os seus ID’s Apple para os servidores de forma a receberem os certificados, o que, convenhamos, será passar o ouro ao bandido, já que entregam os seu dados pessoais, como os seus números de cartões associados, moradas, etc…..
Nesta altura é importante verificar quais as medidas que os developers irão tomar para corrigir esta falha, até porque será também interesse da Apple optimizar este processo na sua API, mantendo o mais segura possível mesmo para que no futuro estes casos não voltem a causar danos e instabilidade na maior comunidade de programadores no mercado da actualidade. [via]