Apple a commencé à envoyer des mails à ses développeurs avec plus d’informations concernant le hack des achats in-app découvert par un russe permettant aux utilisateurs d’effectuer des achats in-app gratuitement.
L’email contient un lien vers une nouvelle page sur le site développeur d’Apple, pour faire le point sur la question, et offre une solution temporaire. Il indique également qu’un patch permanent est à venir dans l’iOS 6.
Voici un extrait du mail envoyé par Apple :
“Une vulnérabilité a été découverte dans iOS 5.1 liée à la validation des factures d’achat in-app en se connectant au serveur App Store directement à partir d’un appareil iOS. Un hacker peut modifier la table DNS pour rediriger ces requêtes à un serveur contrôlé par l’attaque. Lattaquant peut délivrer un certificat SSL qui identifie de manière frauduleuse le serveur comme celui de l’App Store. Lorsque ce serveur frauduleux effeectue une demande pour valider un reçu non valide, elle répond comme si la réception était valide. “
Apple a également fourni une section Questions / Réponses pour les questions les plus fréquentes de ces derniers jours. Si vous êtes un développeur, ou juste intéressé, vous pouvez plus trouver plus d’informations ici .
