S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Une faille de l'API d'Apple permet de récupérer des contenus gratuitement

Ah ces russes...

Un développeur russe, Alexey V. Borodin alias ZonD80, a découvert que l'on pouvait récupérer gratuitement les contenus additionnels au sein des applications disponibles sur iOS, quelle que soit la version du système d'exploitation mobile ou du terminal d'Apple utilisé. La marque, au courant du problème, commence à communiquer sur le sujet et cherche activement à éradiquer le problème.

Le « hack » utilisé est relativement simple et nécessite trois éléments : l'installation d'un certificat issu d'une autorité de Certification, de celui du site in-appstore.com (créé par ZonD80) et enfin de modifier les paramètres de DNS de votre accès à Internet. Dès que ces trois modifications ont été réalisées, il est alors possible de récupérer certains contenus additionnels au sein des applications en leur faisant croire que l'achat est bien réel, selon nos confrères de 9-to-5Mac

 

Add-In App Store

Crédits : The Next Web 

 

Lorsque vous effectuez un achat au sein d'une application, vous recevez normalement un message tel que celui ci-dessus, vous permettant de valider votre achat. Avec cette manipulation, il est remplacé par un autre qui vous demandera si vous aimez in-appstore.com. En cas de réponse positive, l'achat sera validé mais vous ne serez jamais débité.

 

Le développeur a expliqué à nos confrères de The Next Web qu'il exploitait une faille au sein de l'API dédiée aux achats « in-App » d'Apple et que la firme pouvait la corriger. Il faudrait pour ce faire ajouter une méthode de reçu unique qui serait sécurisé et partagé entre Cupertino et ses développeurs tiers. Notez d'ailleurs que la procédure semble innopérante si ces derniers utilisent leurs propres serveurs pour valider les achats réalisés au sein de leurs applications.

 

Apple est sorti de son mutisme chez nos confrères de The Loop et indique « que la sécurité autour de l'App Store est très importante tout comme celle des développeurs et nous prenons très au sérieux les activités frauduleuses. Nous sommes d'ailleurs en train de mener l'enquête autour de ce problème »

 

À l'heure actuelle, il semblerait que différentes parades ont été mises en place par la firme de Cupertino, cependant il serait toujours possible de récupérer les contenus additionnels via ce « hack ». Le développeur russe, à qui n'appartient plus le site in-app-store.com, s'est rapproché d'Apple pour partager ses découvertes. À ce jour, 30 000 achats auraient été effectués gratuitement.

 

La vidéo détaillant la procédure sur YouTube a quant à elle été retirée sur demande d'Apple.

Damien Labourot

Journaliste High-tech gravitant autour de la mobilité (smartphone, tablette, portable) et toujours prêt à de nouvelles expériences.

Google+

Le 17 juillet 2012 à 15:30 (11 692 lectures)

Il y a 28 commentaires

Avatar de momal INpactien
momal Le mardi 17 juillet 2012 à 15:39:36
Inscrit le jeudi 7 mai 09 - 108 commentaires
Le developpeur va se retrouver a Guantanamo pour intrusion dans un systeme informatique...
Avatar de SH4_Origon_X INpactien
SH4_Origon_X Le mardi 17 juillet 2012 à 15:45:53
Inscrit le jeudi 20 mai 10 - 193 commentaires
Il est Russe, donc immunisé contre Guantanamo.
Avatar de kozeidon INpactien
kozeidon Le mardi 17 juillet 2012 à 15:48:30
Inscrit le mardi 29 juin 04 - 147 commentaires
L'API de la Pomme déchante.
Avatar de GoldenTribal INpactien
GoldenTribal Le mardi 17 juillet 2012 à 15:57:21
Inscrit le mardi 13 octobre 09 - 3788 commentaires
Une faille d'une l'API d'Apple permet de récupérer des contenus gratuitement

Jobs doit s'en retourner dans sa tombe

Edité par GoldenTribal le mardi 17 juillet 2012 à 15:57
Avatar de momal INpactien
momal Le mardi 17 juillet 2012 à 16:03:30
Inscrit le jeudi 7 mai 09 - 108 commentaires
SH4_Origon_X a écrit :
Il est Russe, donc immunisé contre Guantanamo.

'vont bien reussir a le faire venir "pour voir"...
Avatar de the true mask INpactien
the true mask Le mardi 17 juillet 2012 à 16:08:21
Inscrit le mardi 16 août 11 - 1151 commentaires
GoldenTribal a écrit :

Jobs doit s'en retourner dans sa tombe


Pourquoi donc .. ??

Avec le jailbreak, tu peux débloquer des contenus in app, de manière beaucoup plus simple et depuis bien longtemps ..

C'est juste que ça touche une infime partie de gens, ce genre de pratique

Avatar de mickey and co INpactien
mickey and co Le mardi 17 juillet 2012 à 16:18:19
Inscrit le lundi 31 janvier 11 - 538 commentaires
the true mask a écrit :


Pourquoi donc .. ??

Avec le jailbreak, tu peux débloquer des contenus in app, de manière beaucoup plus simple et depuis bien longtemps ..

C'est juste que ça touche une infime partie de gens, ce genre de pratique



En fais-tu partie ?
Avatar de the true mask INpactien
the true mask Le mardi 17 juillet 2012 à 16:26:31
Inscrit le mardi 16 août 11 - 1151 commentaires
mickey and co a écrit :


En fais-tu partie ?

Nope je paie toutes mes applis (payantes bien sûr ) et je déteste les modèles freemiums ( achats in app )
Seulement tu peux trouver dans les forums spécialisés des gens qui donnent pas mal de solutions de ce genre
Avatar de mk_kev INpactien
mk_kev Le mardi 17 juillet 2012 à 16:31:09
Inscrit le mardi 12 juin 12 - 188 commentaires
momal a écrit :
Le developpeur va se retrouver a Guantanamo pour intrusion dans un systeme informatique...


Je pense plutôt qu'il va toucher une belle somme d'apple et bosser pour eux.
Avatar de psn00ps INpactien
psn00ps Le mardi 17 juillet 2012 à 16:46:14
Inscrit le jeudi 7 février 08 - 3700 commentaires
the true mask a écrit :


Pourquoi donc .. ??

Avec le jailbreak, tu peux débloquer des contenus in app, de manière beaucoup plus simple et depuis bien longtemps ..

C'est juste que ça touche une infime partie de gens, ce genre de pratique


Parce que ceci est une révolution ? mdr2.gif
Il faut tout racheter retélécharger.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.