Depuis que des hackeurs russes ont détourné le système d'achats in-app de l'App Store, Apple a pris l'affaire très au sérieux et tente de bloquer la faille existante.
Récemment, des hackers du site russe in-appstore.com ont découvert une faille permettant de contourner le système d'achat in-app des applications de l’App Store en mettant au point un petit module permettant d'accéder à des contenus normalement payants de manière totalement gratuite, et par la même occasion de manière totalement illégale, cela étant apparenté à du vol.
Suite à la publication d'une vidéo sur la Toile ainsi que d'un guide complet et détaillé expliquant comment parvenir à ce qu'ils considèrent comme un exploit, leur méthode permettant d'accéder aux achats in-app gratuitement et sans appareil jailbreaké, contrairement à certains tweaks disponibles sur Cydia, Apple à pris la chose très au sérieux en annonçant qu'une enquête était en cours afin de boucher la faille exploitée. De plus, les réclamations des développeurs auprès de la firme de Cupertino ont été nombreuses, certains voyant leur seul moyen de rémunération s'envoler, leur faisant perdre ainsi énormément d'argent.
La marque à la pomme a réagi rapidement en modifiant le système d'achat in-app, toutefois, pour le moment, la faille permettant de ne pas payer n'a pas encore été résolue, comme l'attestent différents développeurs ayant contacté nos confrères de The Next Web.
Dans son code source, Apple a rajouté un champ qui ajouterait un numéro unique pour chaque appareil, cependant cela ne serait pas l'identifiant de l'appareil (l'UDID). De ce fait, les pirates peuvent toujours réaliser des transactions sans dépenser un centime. D'après les hackers, ce serait plus de 8 millions de transactions qui auraient été réalisées.
Pour l'instant, rien n'annonce si la ligne de code qui a été rajoutée a un rapport avec le hack. Apple serait toujours en train de travailler à sécuriser son système pour éviter que de telles choses continuent ou même ne se reproduisent. En attendant, il est conseillé aux développeurs de mettre à jour leurs applications en intégrant la même chaîne d'identification aléatoire que celle que les développeurs de la société californienne viennent d'intégrer via deux API distribuées spécifiquement.