Home Argomenti Vari In-AppStore.com: Otto Milioni e Mezzo di Acquisti in-App “rubati” in 5 giorni!

In-AppStore.com: Otto Milioni e Mezzo di Acquisti in-App “rubati” in 5 giorni! PDF Stampa
Giovedì 19 Luglio 2012 19:06

Un giovane hacker russo scopre una falla nelle applicazioni per iOS che consente a chiunque di scaricare liberamente qualsiasi contenuto in-app, mentre l’azienda americana più ricca al mondo tenta invano di fermalo. A prima vista sembrerebbe una barzelletta, eppure è la realtà! Stiamo parlando di “In-App Store”, il metodo scoperto dal russo Alexey Borodin per aggirare il sistema di In-App Purchase delle applicazioni per iDevice, così da offrire a chiunque la possibilità di acquistare a costo zero i contenuti bloccati e a pagamento venduti all’interno delle app Freemium. Malgrado i mille tentativi da parte dei tecnici di Cupertino di ostacolare questo incontrollato “saccheggio”, ancora oggi chiunque con il proprio dispositivo in pochi passaggi può dar libero sfogo all’acquisto in-app. Se nelle prime 24h dal rilascio delle istruzioni per questa procedura i download erano schizzati a 37484 richieste, in soli 5 giorni siamo arrivati alla spaventosa cifra di 8 milioni e mezzo di contenuti scaricati!

A comunicarlo è lo stesso Borodin in un veloce messaggio lasciato sul suo nuovo sito (nuovo perché il precedente è stato oscurato su pressioni di Apple). I numeri esatti dei download sono: 37.484 in 24 ore e 8.460.017 in totale. A pensare che 5 milioni di download li aveva raggiunti in 6 giorni Instagram per Android, una delle più famose applicazione mobile al mondo. Per comprendere meglio la portata di questo “furto” alle tasche degli sviluppatori di tutto il mondo, vi ricordiamo che ogni acquisto in-app costa come minimo €0.79 e considerando che se uno è libero di scaricare non sceglie sicuramente il taglio minimo d’acquisto, possiamo quantificare il tutto intorno ad un valore ben superiore ai 7 milioni di euro! Naturalmente è una cifra indicativa e non corrisponde affatto ad una reale perdita per gli sviluppatori: un’infima parte di questi utenti avrebbe speso così tanti soldi se avesse dovuto veramente pagare. Ma come fa sapere Borodin gli “acquisti” stanno calando: sembra che ogni utente abbia ottenuto (gratuitamente) ciò che voleva…

Mentre Apple tenta i tutti i modi – sospendendo server, oscurando video, bloccando IP – l’hacker russo acquista sempre più visibilità sul suo sito internet e sfrutta a pieno il momento, dopo essere diventato uno dei primi hacker ad aver messo in scacco l’azienda di Cupertino. In questi giorni si è divertito a prendersi gioco di Apple, proponendo ad esempio questo “equo” scambio: la condivisione di alcune informazioni sulla procedura in cambio di un iPhone 5! L’unica speranza all’orizzonte per Apple sembra essere Beeblex, un servizio “semplice, sicuro e gratuito” di validazione per gli acquisti in-app, lanciato ufficialmente ieri in versione Beta dallo sviluppatore canadese Marco Tabini (@mtabini). Ma l’hacker russo non si scoraggia: in un recente post si dimostra pronto ad accettare la sfida e chiede di sapere quale sarà la prima app ad essere protetta con Beeblex, così da testare la qualità di questo sistema di sicurezza con le proprie “armi”.

Eppure, affidare tutte le transazioni degli acquisti In-App a sistemi di terze parti, come Beeblex, sembra alquanto paradossale se consideriamo solo all’importanza e alla vastità della piattaforma iOS. Cosa potrebbe fare a questo punto Apple? A rispondere a questa domanda ci pensa lo stesso Marco Tabini. Per prima cosa Apple dovrebbe aggiornare e rendere più sicuro il sistema di validazione IAP (In-App Purchase), ma questo richiederebbe al tempo stesso un aggiornamento software dei dispositivi – iOS 6 in arrivo a fine autunno, ma stranamente neanche la Beta 3 contiene un fix al problema – e quindi risolverebbe poco o nulla, anzi rallenterebbe il passaggio dell’utenza alla nuova versione di iOS, invogliando molti utenti a non aggiornare. Apple avrebbe già agito in questo senso, aggiungendo pochi giorni fa una nuova stringa di codice all’interno dell’API che gestisce gli IAP. È intitolata “unique_identifier” ed è seguita, quando è implementata all’interno di un app, dal numero UDID del dispositivo o comunque da un numero random a più cifre caratteristico di ogni device. Non si sa ancora se questa sia stata veramente una mossa di Apple al fine di prevenire l’hack degli acquisti in-app, ma pure se lo fosse stata, come già detto, per essere operativa al 100% richiederebbe un aggiornamento del sistema operativo iOS.

Come seconda azione necessaria da parte di Apple, Marco Tabini indica senza dubbi l’educazione degli sviluppatori, tramite la pubblicazione di maggiori documenti informativi e istruzioni su come rendere più sicure le procedure di validazione IAP. Come terza alternativa infine, Tabini cerca di fare fede alla moralità degli utenti, ma ci sentiamo noi stessi di scartare quest’ultima opzione. In conclusione: soluzioni valide non se ne vedono, perlomeno soluzioni di pronto utilizzo e immediata efficacia. Tutto sta ora nelle mani di Apple e nelle menti dei suoi tecnici. Che la sfida continui!

Intanto ecco la guida: In-App purchase gratis senza jailbreak

VIA

miglior sito

Ultimo aggiornamento Giovedì 19 Luglio 2012 19:10