Manşetler

Apple uygulama içi satış açığına çözüm için yazılımcılara tavsiyelerde bulundu

Apple, iOS geliştiricileri için yayınladığı bir dokümanla uygulama içi satışı bedavaya getiren yöntemi onayladı ve yazılımcılara bu açıkla savaşmaları için bazı yöntem önerilerinde bulundu. Sorunun temelinde bir korsanın Apple’ın kendi App Store sunucusu gibi davranması bulunuyor, böylelikle bir kullanıcıya uygulama içi satışları ödeme yapmadan gerçekleştirme fırsatı verilmiş oluyor.

iOS 5.1 ve öncesi sürümleri etkilediği belirlenen bu açık kapsamında korsan DNS tablosunu değiştirerek uygulama içi satış isteklerini kendi kontrolündeki bir sunucuya yönlendiriyor. Korsan tarafından kontrol edilen ve cihaz sahibi tarafından ilgili cihaza yüklenen sertifika doğrulama mekanizması sayesinde korsan kendi sunucusunu bir App Store sunucusu gibi göstermeye olanak sağlayan SSL sertifikasını kabul ettiriyor. Bu sahte sunucuya geçersiz bir siparişi doğrulaması talep edildiğinde, sunucu sanki sipariş geçerliymiş gibi cevap veriyor.

Apple, açığın önüne geçilmesi için yazılımcılara satın almaları cihaz üzerinden değil de kendi sunucuları üzerinden doğrulatmalarını tavsiye ediyor. Kendi sunucularını kullanmayanlar için de bazı çözümler sunuluyor. Ancak sonuç olarak iOS 5.1 ve öncesi sürümlerde kötüye kullanımı süren bir açık bulunuyor, her ne kadar Apple bazı önlemler alıyor olsa da, yazılımcıların da uygulamalarını emniyet altına almaları için ek adımlar atmaları gerekiyor. Apple’ın belirttiğine göre iOS 6 bu açığı kapatacak, bu da gelecek sürümün biraz daha dört gözle beklenmesine neden oluyor.

İlgili >> 9to5Mac