Las transacciones dentro de las aplicaciones se han convertido en algo común para muchos desarrolladores de IOS: ya sea para vender extras, niveles para juegos o contenidos de pago siguiendo fórmulas freemium. En principio una vía que no había sido perpetrada por los sistemas que hay para instalar apps sin pagar por ella, hasta ahora.
Un hacker ruso ha demostrado que este sistema también se puede saltar. Lo curioso del asunto es que no es necesario hacer jailbreak sino modificar una serie de perfiles en IOS para que el sistema redireccione estas acciones a otro servidor y hacer como si hubiéramos pagado para realizar la descarga en cuestión.
La metodología, sobre el papel, es sencilla. En vez de validar las compras a través de los servidores de Apple, éstas se hacen a través de otro servidor el cual envía una señal a Cupertino para informar de que ya se ha realizado la operación, cuando en realidad no se ha hecho la compra.
El método en cuestión ya está en el punto de mira de Apple y ya ha empezado a tumbar los servidores que usa su creador para saltarse los credenciales. Mientras, él intenta hacer la guerra por su cuenta buscando a través de donaciones para conseguir dinero con el que mantener este sistema.
Este asunto abre dos vías interesantes. Por un lado la seguridad de las operaciones. Apple ha demostrado que son seguras pero este desarrollador ha dejado en evidencia que se puede saltar la protección y, de momento, en Cupertino no han logrado conseguir una solución todavía. No es que este asunto afecte a nuestro día a día, que no cunda el pánico, pero ahí queda eso: hay una forma de saltárselo.
Otra cuestión es el tráfico de la información que se produce a través de estos servidores externos a Apple. Su creador asegura que en ningún momento se almacena ni se registra información de las cuentas de la App Store. De hecho, tal y como explica en su blog, hay que desactivar previamente la cuenta.
Aprovecho el asunto para hacer un pequeño comentario editorial. En Xataka Móvil no fomentamos estas prácticas, cada cual es libre de hacerlo o no bajo su propia responsabilidad. Desde el blog, nuestra tarea es informar sobre este tipo de temas, que consideramos relevantes, y explicaros con detalle lo que sucede.
Vía | ArsTechnica