Se ha descubierto un ataque virtual a las aplicaciones por ingresos (in-app) de la App Store, la tienda oficial de aplicaciones de Apple, que permite a los usuarios acceder a sus programas evadiendo el pago que deberían hacer a sus desarrolladores.
El hacker ruso Alexey V. Borodin, que opera en Internet como “ZonD80”, desarrolló el ataque y publicó un video en YouTube en el que se jactaba de su descubrimiento y hacía una demostración del ataque.
El exploit de Borodin redirige las solicitudes de compra de las aplicaciones “in-app” hacia un servidor falso que dice ser de Apple. El servidor falso las intercepta y aprueba, por lo que los clientes no necesitan pagar por las aplicaciones.
El exploit funciona con cualquier dispositivo de Apple. Según Borodin, el usuario sólo debe instalar dos certificados de seguridad especiales y hacer las compras mediante una red Wi-Fi con las características DNS alteradas. El hacker asegura que se descargaron más de 30.000 aplicaciones con esta técnica.
Apple se está esforzando por combatir la amenaza, que afecta a los desarrolladores que confían en su mercado para vender sus productos. Pero, hasta ahora, sólo ha podido bloquear de forma temporal su difusión para evitar que más personas sigan explotando esta vulnerabilidad.
La empresa realizó una serie de denuncias que concluyeron en el bloqueo de la dirección IP del servidor DNS que interceptaba la AppStore, del video del hacker en YouTube y de la cuenta que estaba usando para recibir donaciones en PayPal.
Pero Borodin se mantuvo firme y criticó a Apple por dedicarse a bloquear el ataque en vez de solucionar la vulnerabilidad subyacente que permite que el exploit funcione. Por esta razón, después de ver la reacción de la empresa, publicó otro video, abrió una cuenta en BitCoin para recibir donaciones y reactivó el ataque desde otro servidor.
Los más afectados por este exploit son los desarrolladores, ya que ellos reciben el 70% de las ganancias de la venta de las aplicaciones y Apple no ha definido si reembolsará las pérdidas causadas por este ataque.
Fuentes:
Apple tries to block iOS in-app purchase hack, fails ZDNet
Apple fights back at in-app freebie exploit Cnet News
Apple fails to block stolen iOS in-app content The Register
Apple combate al hacker que enseña a evadir los pagos de su App Store