Oligur

• ニュース

最近、ロシアのハッカーがAppleのiOSアプリ内購入システムを乗っ取り、有料アップグレードを無料で入手していたことが発覚しました。このハッカーは、Appleの認証サーバーを迂回し、偽の購入レシートを返すプロキシを経由してアプリ内購入を誘導することで成功しました。

Appleは既にこの活動への対策を試みていますが、本日、開発者向けにアプリ内購入をこのような攻撃から保護するための解決策の概要を発表しました。また、Appleはこの問題が今秋のiOS 6の一般公開時に修正されることを確認しました。

Appleは開発者向けサポートドキュメントの中で、開発者に対し、レシートの検証と暗号化に自社のアプリ内課金サーバーを利用することを推奨しています。購入レシートの転送にサードパーティ製のプライベートサーバーを使用している開発者は、ハッキングの影響を受ける可能性があります。iOS 6までは、Appleはアプリ内課金の検証とセキュリティ確保のため、開発者がAppleのプライベートAPIに一時的にアクセスできるようにしています。

文書は次のメッセージで始まります。

iOS 5.1以前のバージョンにおいて、iOSデバイスからApp Storeサーバーに直接接続することでアプリ内購入レシートを検証する際に発生する脆弱性が発見されました。攻撃者はDNSテーブルを改ざんすることで、これらのリクエストを攻撃者が管理するサーバーにリダイレクトできます。攻撃者は、攻撃者が管理し、ユーザーがデバイスにインストールした認証局を利用して、攻撃者のサーバーをApp Storeサーバーとして偽装するSSL証明書を発行できます。この偽装サーバーは、無効なレシートの検証を要求されると、レシートが有効であるかのように応答します。

iOS 6ではこの脆弱性が修正されます。アプリが以下のベストプラクティスに従っている場合、この攻撃の影響を受けません。

AppleはCNETに対する声明で次のようにも述べている。

開発者の皆様には、不正なアプリ内購入の被害に遭わないよう、developer.apple.com のベストプラクティスに従うことをお勧めします。この点も iOS 6 で改善される予定です。

出典：CNET

出典: The Next Web