Apple navrhl vývojářům dočasné řešení problému s in-app nákupy v iOS aplikacích, díky kterým mohli uživatelé zdarma stahovat obsah placených aplikací v rámci in-app nákupů. O tomto hacku, který objevil ruský hacker jsme vás informovali přímo zde. Apple vývojáře oslovil pomocí dokumentu pro podporu vývojářů iOS aplikací, ve kterém doporučuje následující. Apple již ve středu vydal unikátní identifikátor in-app nákupů, který pomůže ověřit, zda transakce neprochází přes nezabezpečené DNS servery.
Chyba byla objevena v iOS 5.1, kde dochází k tomu, že pokud uživatel změní DNS přesměrování na server ovládaný hackerem, je možné získat zdarma placený obsah in-app nákupů v aplikacích. Použitím falešného certifikátu může dojít k tomu, že aplikace identifikuje podvodný DNS server jako App Store server a umožní stažení obsahu zdarma. Z tohoto důvodu Apple doporučuje vývojářům používat neveřejná API k ověření bezpečnosti, což Apple nově povolil. Je tak možné, aby aplikace ověřila pomocí neveřejného API, zda se skutečně jedná o server App Store, nebo podvod.
Mluvčí společnosti Apple Tom Neumayr uvedl, že společnost doporučuje vývojářům dodržovat doporučené postupy, které naleznou na developer.apple.com a díky kterým zajistí, že nebudou ohrožení podvodnými in-app nákupy. Neumayr dále uvedl, že se problémem bude zabývat očekávaný operační systém iOS 6, který bude uživatelům uvolněn letos na podzim.
a myslíte že se vývojáři dočkají kompenzace ze strany applu? já myslím, že ne, protože je Apple je sysel a sysel si své věci syslí…
Nezáviď tak okatě
mně je u zadele kolik kdo vydělává, ale když někdo udělá chybu je slušností se alespon omluvit, ale ne Jabko poradí „máme chybu, opravte si ji sami“…
pekova: zatímco Google kritické zásadní chyby neřeší vůbec a celě roky!!!
Apple nerika, opravte si ji sami, ale nestaci to zabezpeceni nastavit jenom na strane serveru Apple, musi to overovani unikatniho ID kazde platby integrovat i jednotlivi vyvojari, kteri placeni uvnitr aplikace pouzivaji, kapisto?
Vyvojari ktori dodrziavali odporucania v dokumentacii robili overovanie IAP cez svoje servery od zaciatku. Takze nie apple nema preco kompenzovat lenivost developerov, navod na ochranu pred tymto bol znamy vzdy, toto nove je len dalsia zaplata.