Hace unos días veíamos cómo un hacker ruso había creado un método para lograr hacer compras desde la aplicación sin necesidad de la aprobación de Apple y por tanto, sin pagar. A grosso modo se trata de desviar el envío de información para hacerlo a través de un servidor externo que posteriormente envía la orden a Apple para hacer como que el usuario ha pagado, cuando no es así.
En Cupertino llevan varios días trabajando en ello: tumbando los servidores del hacker e intentando poner medidas de seguridad para frenar este agujero de seguridad. El último paso podría estar en blindar las compras dentro de las aplicaciones para identificar quién está comprando y tener un mayor control.
Según varios desarrolladores Apple ha introducido una línea en los tickets de las compras en las apps denominada “unique_identifier” donde se está registrando el UDID del dispositivo. Es decir, un número de serie asociado al hardware y que no puede ser modificado por el usuario. De momento no queda claro cuál es el propósito.
Si echamos la vista atrás, hace unos meses Apple prohibió a los desarrolladores recolectar información del UDID. Tal fue que retiraron varias apps de la App Store. Sin embargo ahora parece que en Cupertino vuelven a querer tener el control de esto. ¿El motivo? No parece muy claro, a falta de un comunicado oficial.
Posiblemente podría tratarse de una forma de incrementar la seguridad y controlar las compras para evitar este tipo de prácticas. Quizá sea una forma de cruzar bases de datos para saber qué dispositivos están usando el servidor del hacker ruso para saltarse el pago dentro de las aplicaciones. Estamos atentos para ampliar más información, especialmente para aclarar por qué ahora se está cogiendo el UDID.
Vía | MacRumors En Xataka Móvil | Hacker logra saltarse la seguridad de las compras dentro de la aplicación en iOS