Faille dans l’achat in-app sur l’Appstore

Publié le 16 juillet 2012 par Brokenbird @JournalDuGeek

Alors que l’affaire n’est pas nouvelle, Apple vient de communiquer officiellement sur la faille qui touche l’achat au sein des applications sur iOS.

Découverte par Alexey Borodin, un hacker russe, cette faille touche toutes les versions d’iOS actuellement disponibles (de la 3.0 à la 6.0) et permet l’acquisition de contenus payants gratuitement.

Alexey a simplement établit une liaison entre le smartphone (avec un ensemble de fichiers au préalable installés) et un serveur réalisé pour l’occasion.

Lorsque l’application demande l’autorisation de prélèvement au serveur, ce dernier lui renvoi un reçu de transaction bancaire permettant à « l’achat » de se finaliser.

Un « proof of concept » circule depuis plusieurs mois déjà sur cydia, il est donc étonnant de constater la réaction tardive d’Apple à ce sujet :

La sécurité de L’Appstore est primordiale pour nous et la communauté des développeurs [...] nous prenons les signalements d’activités frauduleuses très sérieusement et nous sommes actuellement en train d’enquêter.

Source