Les applications du Mac App Store piratées ? Une simple négligence des développeurs
Le bruit court que le Mac App Store serait piraté, que les applications seraient faciles à craquer ou copier… et c'est largement imprécis. Les applications téléchargées sur le Mac App Store contiennent un fichier de reçu du paquet (receipt) signé et chiffré : seule Apple peut générer des fichiers de reçus considérés comme valides. Pour s'assurer que l'application provient bien du Mac App Store et a été acquise légitimement, les applications peuvent vérifier ce fichier de reçu.
Apple fournit (compte développeur obligatoire) cinq étapes pour valider ce fichier de reçu, de la vérification de la présence du fichier de reçu à la vérification du hash de son GUID. On peut en effet « pirater » assez facilement Angry Birds : il suffit de le récupérer chez un ami, y transférer certains fichiers d'une application que l'on a acquis, et il tourne. Et c'est normal : au lieu de vérifier cinq aspects de la validation d'un fichier de reçu, Angry Birds n'en vérifie que deux. Et peut donc être berné.
En testant quelques applications, on s'aperçoit vite qu'assez peu d'applications peuvent être aussi vite détournées, mais le fait que la porte soit ainsi ouverte pose d'ores et déjà un problème. Le développeur Sean Christmann (via) explique de plus que les méthodes décrites par Apple ne sont pas forcément les plus fiables. Elle se base en effet sur un fichier
Les développeurs devront donc vérifier leur code, et il ne serait d'ailleurs pas étonnant qu'à la faveur du « à peine lancé, déjà piraté », Apple renforce la sécurité de son Mac App Store en excluant les applications qui ne vérifient pas correctement les fichiers de reçu. Premier soubresaut donc pour le Mac App Store.
Apple fournit (compte développeur obligatoire) cinq étapes pour valider ce fichier de reçu, de la vérification de la présence du fichier de reçu à la vérification du hash de son GUID. On peut en effet « pirater » assez facilement Angry Birds : il suffit de le récupérer chez un ami, y transférer certains fichiers d'une application que l'on a acquis, et il tourne. Et c'est normal : au lieu de vérifier cinq aspects de la validation d'un fichier de reçu, Angry Birds n'en vérifie que deux. Et peut donc être berné.
En testant quelques applications, on s'aperçoit vite qu'assez peu d'applications peuvent être aussi vite détournées, mais le fait que la porte soit ainsi ouverte pose d'ores et déjà un problème. Le développeur Sean Christmann (via) explique de plus que les méthodes décrites par Apple ne sont pas forcément les plus fiables. Elle se base en effet sur un fichier
info.plist
, facile à repérer et modifier : il conseille donc de tout coder en dur dans son application pour assurer un minimum de sécurité.Les développeurs devront donc vérifier leur code, et il ne serait d'ailleurs pas étonnant qu'à la faveur du « à peine lancé, déjà piraté », Apple renforce la sécurité de son Mac App Store en excluant les applications qui ne vérifient pas correctement les fichiers de reçu. Premier soubresaut donc pour le Mac App Store.
Pages