iOS 6 исправит уязвимость с In-App Purchase, Apple предоставляет рекомендации для разработчиков

Apple сообщает, что обнаруженная русским хакером уязвимость с in-app purchase будет исправлена в iOS 6.

iOS Developer Library:

Уязвимость была обнаружена в iOS 5.1 (и более ранних версиях), связана с проверкой пакетов in-app purchase через подключение к серверу App Store напрямую с iOS устройства. Злоумышленник может изменить таблицу DNS, чтобы перенаправить эти запросы на свой сервер. С использованием сертификаций злоумышленника, которые устанавливаются на устройство самим пользователем, злоумышленник может использовать SSL-сертификат, который обманным путем определяет сервер хакера, как сервер App Store. При этом сервер мошенника просят сделать валидацию неверного запроса, на что сервер отвечает, что запрос валидный.

iOS 6 исправит эту проблему. Если ваше приложение следует рекомендациям, описанным ниже, то оно не будет подвержено этой уязвимости.

Apple на сайте для iOS разработчиков предоставляет несколько шагов, следуя которым разработчики могут сделать свое приложение защищенным от этой уязвимости на данный момент.

via iOS Developer