El pasado sábado comentábamos la noticia del descubrimiento de un agujero de seguridad en la App Store que permitía realizar compras inApp sin tener que pagar por ellas. El responsable del hallazgo era Alexey V. Borodin, un hacker ruso que publicó un vídeo (ahora ya eliminado) explicando un método que consistía en desviar las peticiones de compra a sus propios servidores en vez de a los de Apple.
Por supuesto, la compañía no tardó en responder eliminando el vídeo y afirmando que estaba trabajando en solucionar el problema.
La primera medida que ha tomado Apple es empezar a bloquear los servidores de Borodin. Sin embargo, el sistema sigue funcionando porque el hacker lo ha pasado a otros servidores diferentes. También asegura haber «depurado» el procedimiento para evitar que los datos del usuario circulen libremente (de hecho, ahora es necesario desconectarse de la cuenta de iTunes para poder acceder a los servidores de Borodin). Sin embargo, nada asegura que, efectivamente, los datos (ya sean los de la cuenta de iTunes o cualquier otro dato privado que utilicemos en nuestra navegación por internet) no sigan viajando y almacenándose en los nuevos servidores. Borodin también afirma que nadie de Apple se ha puesto en contacto con él.
Está claro que la respuesta de Apple tiene que ser de otro tipo, por ejemplo, cambiando el sistema de validación utilizado para las compras inApp.
En cualquier caso, seguimos recordando el grave perjuicio que supone para los desarrolladores esta forma de actuar.
Vía: The Next Web