macosx

OS X lui aussi sujet à la faille des achats in-app

par Anthony Nelzin le 21.07.2012 à 07:30

Alexei Borodin a mis en place un système permettant de contourner la vérification des achats in-app sur OS X, et ainsi de les obtenir sans payer. Ce hacker russe s'était distingué il y a quelques jours en proposant un système similaire pour iOS.


Piratage in-app


Le mécanisme sur Mac est très similaire à celui sur iOS : il consiste à installer deux certificats et à modifier les entrées DNS pour que les serveurs du hacker répondent aux requêtes du Mac App Store à la place des serveurs d'Apple. Une application supplémentaire est cette fois-ci indispensable pour accompagner le processus, comme l'explique The Next Web.


Des données sensibles transitant par ces serveurs, les risques de sécurité sont les mêmes. Les serveurs renvoient une réponse interprétée comme valide par l'application, et l'achat in-app est effectué sans que l'utilisateur n'ait rien à payer. Même si les achats in-app sont encore peu répandus sur OS X, les effets sont tout aussi néfastes pour les développeurs.


Apple a annoncé qu'iOS 6 bloquerait cette méthode de contournement, et offre aux développeurs l'accès à deux APIs jusqu'ici privées pour chiffrer et vérifier leurs reçus in-app directement auprès des serveurs d'Apple. On imagine que la firme de Cupertino ne tardera pas à faire de même sur Mac, et qu'une mise à jour mineure de Mountain Lion, qui sort dans quelques jours, sera prestement disponible pour régler le problème.


|  |  

Découvrez les nouveautés de Mountain Lion avec notre livre
Vos réactions (15 réactions)
Cyrtop [21/07/2012 08:11]

Bonjour cela va peut être retardé le lancemant de montaine lion ? qui sait ?Nous verrons bien
Oliveroudoudou [21/07/2012 08:33] via iGeneration pour iPad

@Cyrtop

Franchement ça m'étonnerait
superjoueur [21/07/2012 09:25] via MacG Mobile

Ils ont largement le temps avant la sortie de régler le problème, Apple prétend avoir comblé la faille.
BeePotato [21/07/2012 10:56]

C’est dommage cette habitude d’appeler ce gars « hacker » dans les articles, au lieu de dire plus honnêtement « pirate ». Je trouve que ça laisse planer le doute sur le fait que c’est un minable enfoiré, alors que le doute n’est en fait pas permis.
sedition [21/07/2012 10:59]

Vous pouvez en penser ce que vous voulez, il n'empêche que ce type est bon :)
mathias10 [21/07/2012 11:08] via MacG Mobile

@cyrtop

Les cles usb doivent déjâ être faites... Les premiers système doivent être déjà présents sur certaines machines sortant d'usine...ils ne vont pas repousser alors qu'une petite maj règlera le tout.

@sedition
Dans cette histoire, ce ne sont pas les rovio, EArts, gameloft et cie qui sont les victimes mais bien les petits devs.
Seccotine [21/07/2012 11:44]

@ BeePotato

Pourtant Hacker est le terme exact, alors que pirate ne l'est pas du tout dans ce cas-ci.
UnkleDark [21/07/2012 12:02]

On peut dire "truand" alors ? Car j'appelle ça ni plus ni moins que du vol. On aura beau dire "mais oui mais tu comprends EA s'en met plein les poches", ce ne sont que des excuses. Dans ce cas, je vais aller voler ma prochaine voiture ? Ma nourriture ? Faut arrêter un moment, surtout que ces achats sont souvent des petits paiements dans des applis gratuites.
rick75 [21/07/2012 12:08]

C'est peut-être une raisonnement réducteur, mais il existe des endroits du monde où les capacités intellectuelles sont supérieures.
Quand Kaspersky parle d'augmenter la sécurité du web via des passeports, il n'y a que des lobbys pour ne pas l'écouter.....
bugman [21/07/2012 12:36]

Quel tristesse. Depuis la sortie du MAS je m'attendais à ce que cela arrive un jour. En espérant que les applications complètes ne soit jamais touchées par ce genre de hack et que les utilisateurs que nous sommes ne soient pas assez idiots pour utiliser ce genre de contournement.

@ mathias10 : Tous (les éditeurs) sont à plaindre.
Akerloof [21/07/2012 14:34]

@ rick75
Oui c'est un raisonnement réducteur pour ne pas dire st..... et ton histoire de passeport me fait bien rire (rire nerveux car je suis plutôt atterré).
designer_drugs [21/07/2012 17:38] via MacG Mobile

@sedition :
Personne ne dit le contraire, mais imaginons que tu es développeur, que tu as ton applications.
Mais que ton achats In-App se fait sodomiser par pleins de gens :D
Je suppose que ton discours ne serait pas le même.
albinoz [21/07/2012 18:51]

Il y a bien une différence entre hacker et pirater,
hacker est est une passion ou une démonstration a des fins non malsaines,
pirater, ca revient a faire ce que beaucoup doivent faire ici, télécharger illegallement ou utliser des ùoyens a des fins illégales… bref
Frodor [21/07/2012 20:26] via MacG Mobile

@albinoz :
+1
wizardkillyou [22/07/2012 07:30]

Alexei Borodin MERCI !



Réagir

attention Il n'est pas possible de réagir à cette dépêche. Si vous souhaitez toutefois réagir, n'hésitez pas à faire un tour dans nos forums.