OS X lui aussi sujet à la faille des achats in-app

Anthony Nelzin-Santos |

Alexei Borodin a mis en place un système permettant de contourner la vérification des achats in-app sur OS X, et ainsi de les obtenir sans payer. Ce hacker russe s'était distingué il y a quelques jours en proposant un système similaire pour iOS.



Piratage in-app



Le mécanisme sur Mac est très similaire à celui sur iOS : il consiste à installer deux certificats et à modifier les entrées DNS pour que les serveurs du hacker répondent aux requêtes du Mac App Store à la place des serveurs d'Apple. Une application supplémentaire est cette fois-ci indispensable pour accompagner le processus, comme l'explique The Next Web.



Des données sensibles transitant par ces serveurs, les risques de sécurité sont les mêmes. Les serveurs renvoient une réponse interprétée comme valide par l'application, et l'achat in-app est effectué sans que l'utilisateur n'ait rien à payer. Même si les achats in-app sont encore peu répandus sur OS X, les effets sont tout aussi néfastes pour les développeurs.



Apple a annoncé qu'iOS 6 bloquerait cette méthode de contournement, et offre aux développeurs l'accès à deux APIs jusqu'ici privées pour chiffrer et vérifier leurs reçus in-app directement auprès des serveurs d'Apple. On imagine que la firme de Cupertino ne tardera pas à faire de même sur Mac, et qu'une mise à jour mineure de Mountain Lion, qui sort dans quelques jours, sera prestement disponible pour régler le problème.

Tags
#sécurité #achat in-app
avatar Cyrtop | 
Bonjour cela va peut être retardé le lancemant de montaine lion ? qui sait ?Nous verrons bien
avatar OliveRoudoudou | 
@Cyrtop Franchement ça m'étonnerait
avatar superjoueur | 
Ils ont largement le temps avant la sortie de régler le problème, Apple prétend avoir comblé la faille.
avatar BeePotato | 
C’est dommage cette habitude d’appeler ce gars « hacker » dans les articles, au lieu de dire plus honnêtement « pirate ». Je trouve que ça laisse planer le doute sur le fait que c’est un minable enfoiré, alors que le doute n’est en fait pas permis.
avatar sedition | 
Vous pouvez en penser ce que vous voulez, il n'empêche que ce type est bon :)
avatar Mathias10 | 
@cyrtop Les cles usb doivent déjâ être faites... Les premiers système doivent être déjà présents sur certaines machines sortant d'usine...ils ne vont pas repousser alors qu'une petite maj règlera le tout. @sedition Dans cette histoire, ce ne sont pas les rovio, EArts, gameloft et cie qui sont les victimes mais bien les petits devs.
avatar Seccotine | 
@ BeePotato Pourtant Hacker est le terme exact, alors que pirate ne l'est pas du tout dans ce cas-ci.
avatar UnkleDark | 
On peut dire "truand" alors ? Car j'appelle ça ni plus ni moins que du vol. On aura beau dire "mais oui mais tu comprends EA s'en met plein les poches", ce ne sont que des excuses. Dans ce cas, je vais aller voler ma prochaine voiture ? Ma nourriture ? Faut arrêter un moment, surtout que ces achats sont souvent des petits paiements dans des applis gratuites.
avatar rick75 | 
C'est peut-être une raisonnement réducteur, mais il existe des endroits du monde où les capacités intellectuelles sont supérieures. Quand Kaspersky parle d'augmenter la sécurité du web via des passeports, il n'y a que des lobbys pour ne pas l'écouter.....
avatar bugman | 
Quel tristesse. Depuis la sortie du MAS je m'attendais à ce que cela arrive un jour. En espérant que les applications complètes ne soit jamais touchées par ce genre de hack et que les utilisateurs que nous sommes ne soient pas assez idiots pour utiliser ce genre de contournement. @ mathias10 : Tous (les éditeurs) sont à plaindre.
avatar Akerloof (non vérifié) | 
@ rick75 Oui c'est un raisonnement réducteur pour ne pas dire st..... et ton histoire de passeport me fait bien rire (rire nerveux car je suis plutôt atterré).
avatar Designer_Drugs | 
@sedition : Personne ne dit le contraire, mais imaginons que tu es développeur, que tu as ton applications. Mais que ton achats In-App se fait sodomiser par pleins de gens :D Je suppose que ton discours ne serait pas le même.
avatar albinoz | 
Il y a bien une différence entre hacker et pirater, hacker est est une passion ou une démonstration a des fins non malsaines, pirater, ca revient a faire ce que beaucoup doivent faire ici, télécharger illegallement ou utliser des ùoyens a des fins illégales… bref
avatar Frodor | 
@albinoz : +1
avatar wizardkillyou | 
Alexei Borodin MERCI !

CONNEXION UTILISATEUR