Как заметил 9to5Mac, Apple предложила разработчикам серию лучших практик для предотвращения уязвимости в продажах через приложения, а также пообещала полное исправление в iOS 6. Рекомендации были отправлены разработчикам в электронном письме сегодня.

CNET получил от Apple следующее заявление:

«Мы рекомендуем разработчикам следовать лучшим практикам на developer.apple.com, чтобы гарантировать отсутствие уязвимости к мошенническим покупкам через приложения», — сообщил CNET представитель Apple Том Ноймайр. «Это также будет учтено в iOS 6».

Apple опубликовала эту заметку для разработчиков на веб-странице для разработчиков iOS, а также серию предложений, помогающих проверить легитимность покупок внутри приложений:

Обнаружена уязвимость в iOS 5.1 и более ранних версиях, связанная с проверкой квитанций о покупках внутри приложений путем прямого подключения к серверу App Store с устройства iOS. Злоумышленник может изменить таблицу DNS, чтобы перенаправить эти запросы на сервер, контролируемый злоумышленником. Используя центр сертификации, контролируемый злоумышленником и установленный на устройстве пользователем, злоумышленник может выпустить SSL-сертификат, который мошеннически идентифицирует сервер злоумышленника как сервер App Store. Когда этот мошеннический сервер получает запрос на проверку недействительной квитанции, он отвечает так, как будто квитанция действительна.

Новость о взломе механизма покупок внутри приложений появилась неделю назад, и Apple предприняла несколько попыток предотвратить использование взлома пользователями. Он позволяет пользователям избежать оплаты за покупки внутри приложений, используя сторонний сервер в качестве атаки «человек посередине». Теперь Apple включает идентификатор UDID в квитанции о покупках внутри приложений в попытке повысить безопасность покупок.