Apple a réagi à l’annonce d’un hacker russe qui aurait découvert une faille dans le système de paiement in-app sur les smartphones de la pomme.
Un important manque à gagner pour les développeur
Un développeur russe se faisant appeler ZonD80 a publié une méthode assez simple pour se procurer des biens virtuels sans avoir à débourser quoi que ce soit.
Alexey V. Borodin, de son vrai nom, a découvert une faille dans le système de paiement in-app sur les applications destinées aux terminaux Apple.
Ne nécessitant pas de jailbreak, le hack mis en place par le russe passe par un serveur distant vers lequel sont dirigées les demandes de micropaiement. Cette méthode serait active depuis un bon bout de temps lésant considérablement les développeurs. Par ailleurs, elle peut se faire sur les appareils sous iOS 3 jusqu’au futur système iOS 6.
On estime à 30 000 le nombre de transactions illégales réalisées selon cette méthode. Alexey V. Borodin a toutefois indiqué que pour contrer ce hack, les développeurs doivent avoir leur propre serveur pour la validation des achats in-ap.
La réaction d’Apple
Devant l’ampleur des dégâts éventuels que pouvait provoquer cette faille dans la sécurité de son célèbre système de micropaiement, la firme de Cupertino se devait de réagir et c’est ce qu’elle a fait ce weekend. Après avoir fait savoir publiquement qu’elle se penchait sur le problème, la marque à la pomme a fait interdire la vidéo de démonstration sur Youtube.
Elle a également bloqué l’adresse IP du serveur utilisé par ZonD80. Paypal, de son côté, a bloqué le compte du hacker russe. Voulant se battre jusqu’au bout, ce dernier a ouvert un nouveau serveur dans un pays offshore pour continuer son piratage.
Tant qu’Apple n’a pas trouvé la parade logiciel du hack, les développeurs d’applications pour iOS ne seront pas totalement à l’abri.