Une faille de l'API d'Apple permet de récupérer des contenus gratuitement

Ah ces russes... 28

Un développeur russe, Alexey V. Borodin alias ZonD80, a découvert que l'on pouvait récupérer gratuitement les contenus additionnels au sein des applications disponibles sur iOS, quelle que soit la version du système d'exploitation mobile ou du terminal d'Apple utilisé. La marque, au courant du problème, commence à communiquer sur le sujet et cherche activement à éradiquer le problème.

Le « hack » utilisé est relativement simple et nécessite trois éléments : l'installation d'un certificat issu d'une autorité de Certification, de celui du site in-appstore.com (créé par ZonD80) et enfin de modifier les paramètres de DNS de votre accès à Internet. Dès que ces trois modifications ont été réalisées, il est alors possible de récupérer certains contenus additionnels au sein des applications en leur faisant croire que l'achat est bien réel, selon nos confrères de 9-to-5Mac

Add-In App Store

Crédits : The Next Web 

Lorsque vous effectuez un achat au sein d'une application, vous recevez normalement un message tel que celui ci-dessus, vous permettant de valider votre achat. Avec cette manipulation, il est remplacé par un autre qui vous demandera si vous aimez in-appstore.com. En cas de réponse positive, l'achat sera validé mais vous ne serez jamais débité.

Le développeur a expliqué à nos confrères de The Next Web qu'il exploitait une faille au sein de l'API dédiée aux achats « in-App » d'Apple et que la firme pouvait la corriger. Il faudrait pour ce faire ajouter une méthode de reçu unique qui serait sécurisé et partagé entre Cupertino et ses développeurs tiers. Notez d'ailleurs que la procédure semble innopérante si ces derniers utilisent leurs propres serveurs pour valider les achats réalisés au sein de leurs applications.

Apple est sorti de son mutisme chez nos confrères de The Loop et indique « que la sécurité autour de l'App Store est très importante tout comme celle des développeurs et nous prenons très au sérieux les activités frauduleuses. Nous sommes d'ailleurs en train de mener l'enquête autour de ce problème »

À l'heure actuelle, il semblerait que différentes parades ont été mises en place par la firme de Cupertino, cependant il serait toujours possible de récupérer les contenus additionnels via ce « hack ». Le développeur russe, à qui n'appartient plus le site in-app-store.com, s'est rapproché d'Apple pour partager ses découvertes. À ce jour, 30 000 achats auraient été effectués gratuitement.

La vidéo détaillant la procédure sur YouTube a quant à elle été retirée sur demande d'Apple.

Publiée le 17/07/2012 à 15:30
Damien Labourot

Journaliste High-tech gravitant autour de la mobilité (smartphone, tablette, portable) et toujours prêt à de nouvelles expériences.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité