S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Une faille de l'API d'Apple permet de récupérer des contenus gratuitement

Ah ces russes...

Un développeur russe, Alexey V. Borodin alias ZonD80, a découvert que l'on pouvait récupérer gratuitement les contenus additionnels au sein des applications disponibles sur iOS, quelle que soit la version du système d'exploitation mobile ou du terminal d'Apple utilisé. La marque, au courant du problème, commence à communiquer sur le sujet et cherche activement à éradiquer le problème.

Le « hack » utilisé est relativement simple et nécessite trois éléments : l'installation d'un certificat issu d'une autorité de Certification, de celui du site in-appstore.com (créé par ZonD80) et enfin de modifier les paramètres de DNS de votre accès à Internet. Dès que ces trois modifications ont été réalisées, il est alors possible de récupérer certains contenus additionnels au sein des applications en leur faisant croire que l'achat est bien réel, selon nos confrères de 9-to-5Mac

 

Add-In App Store

Crédits : The Next Web 

 

Lorsque vous effectuez un achat au sein d'une application, vous recevez normalement un message tel que celui ci-dessus, vous permettant de valider votre achat. Avec cette manipulation, il est remplacé par un autre qui vous demandera si vous aimez in-appstore.com. En cas de réponse positive, l'achat sera validé mais vous ne serez jamais débité.

 

Le développeur a expliqué à nos confrères de The Next Web qu'il exploitait une faille au sein de l'API dédiée aux achats « in-App » d'Apple et que la firme pouvait la corriger. Il faudrait pour ce faire ajouter une méthode de reçu unique qui serait sécurisé et partagé entre Cupertino et ses développeurs tiers. Notez d'ailleurs que la procédure semble innopérante si ces derniers utilisent leurs propres serveurs pour valider les achats réalisés au sein de leurs applications.

 

Apple est sorti de son mutisme chez nos confrères de The Loop et indique « que la sécurité autour de l'App Store est très importante tout comme celle des développeurs et nous prenons très au sérieux les activités frauduleuses. Nous sommes d'ailleurs en train de mener l'enquête autour de ce problème »

 

À l'heure actuelle, il semblerait que différentes parades ont été mises en place par la firme de Cupertino, cependant il serait toujours possible de récupérer les contenus additionnels via ce « hack ». Le développeur russe, à qui n'appartient plus le site in-app-store.com, s'est rapproché d'Apple pour partager ses découvertes. À ce jour, 30 000 achats auraient été effectués gratuitement.

 

La vidéo détaillant la procédure sur YouTube a quant à elle été retirée sur demande d'Apple.

Damien Labourot

Journaliste High-tech gravitant autour de la mobilité (smartphone, tablette, portable) et toujours prêt à de nouvelles expériences.

Google+

Publiée le 17/07/2012 à 15:30

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 28 commentaires

Avatar de momal INpactien
momal Le mardi 17 juillet 2012 à 15:39:36
Inscrit le jeudi 7 mai 09 - 170 commentaires
Le developpeur va se retrouver a Guantanamo pour intrusion dans un systeme informatique...
Avatar de SH4_Origon_X INpactien
SH4_Origon_X Le mardi 17 juillet 2012 à 15:45:53
Inscrit le jeudi 20 mai 10 - 195 commentaires
Il est Russe, donc immunisé contre Guantanamo.
Avatar de kozeidon INpactien
kozeidon Le mardi 17 juillet 2012 à 15:48:30
Inscrit le mardi 29 juin 04 - 150 commentaires
L'API de la Pomme déchante.
Avatar de ano_635301045460992542 INpactien
ano_635301045460992542 Le mardi 17 juillet 2012 à 15:57:21
Inscrit le mardi 13 octobre 09 - 4184 commentaires
Une faille d'une l'API d'Apple permet de récupérer des contenus gratuitement

Jobs doit s'en retourner dans sa tombe

Edité par GoldenTribal le mardi 17 juillet 2012 à 15:57
Avatar de momal INpactien
momal Le mardi 17 juillet 2012 à 16:03:30
Inscrit le jeudi 7 mai 09 - 170 commentaires
Il est Russe, donc immunisé contre Guantanamo.

'vont bien reussir a le faire venir "pour voir"...

Il y a 28 commentaires

;