Con la versión 3.0 de iOS llegaron las compras in-app, o dentro de la aplicación. Este sistema permitía comprar productos dentro de las aplicaciones (por ejemplo, un nuevo coche para un juego o temas distintos para una aplicación de lectura) usando el sistema de pagos de la App Store. Es una buena idea pero con fallos de seguridad, tal y como ha demostrado Alexey Borodin.
Es un ataque del tipo MITM (man-in-the-middle, literalmente hombre en el medio). Instalando unos certificados y cambiando las DNS del teléfono, las compras in-app son interceptadas y pasan al servidor de Borodin en lugar de al de Apple.
El servidor de Borodin devuelve a la aplicación un certificado de compra, que hace pensar a la aplicación que el usuario ya ha pagado aunque en realidad no se haya desembolsado nada. ¿De dónde sale ese certificado de compra? Dado que no contienen ningún dato sobre el comprador, lo único que necesita Borodin es un único certificado real, que pasa a todos los que hacen la misma compra.
Además, aunque las aplicaciones verifiquen esos certificados seguirán siendo vulnerables. Como la verificación se hace contra la App Store de Apple, el servidor de Borodin intercepta de nuevo la petición y envía a la aplicación el mensaje de que ese certificado es válido.
Usando este hack, podrían haberse hecho más de 30.000 ventas falsas en las aplicaciones. Ahora mismo, lo único que pueden hacer los desarrolladores es o bien verificar las compras con un servidor propio o esperar a que Apple corrija este fallo en su API.
[Fuente: www.genbeta.com]