Appleは本日、最近発見されたアプリ内購入の脆弱性に関する詳細情報を開発者にメールで送付し始めました。今月初めには、ユーザーが有料アプリ内コンテンツを無料で入手できるハッキングのニュースが報じられました。
メールには、Appleの開発者向けウェブサイトに掲載された新しいサポートページへのリンクが含まれており、開発者向けに問題に関する情報と一時的な解決策が提供されています。また、iOS 6で永続的なパッチがリリースされる予定であることも記載されています…
9to5Mac は新しいサポートページからの抜粋を共有しています。
iOS 5.1以前のバージョンにおいて、iOSデバイスからApp Storeサーバーに直接接続することでアプリ内購入レシートを検証する際に脆弱性が発見されました。攻撃者はDNSテーブルを改ざんすることで、これらのリクエストを攻撃者が管理するサーバーにリダイレクトできます。攻撃者は、攻撃者が管理し、ユーザーがデバイスにインストールした認証局を利用して、攻撃者のサーバーをApp Storeサーバーとして偽装するSSL証明書を発行できます。この偽装サーバーは、無効なレシートの検証を要求されると、レシートが有効であるかのように応答します。
Appleは、ここ数日間で開発者から最も多く寄せられた質問の中から3つをQ&Aセクションにまとめました。開発者の方はもちろん、ご興味のある方も、ぜひご覧ください。
