Apple ha publicado un documento para los desarrolladores de aplicaciones iOS en la que explica cómo protegerse contra el fraude de las compras in-App en aplicaciones iOS. Esta documentación llega el mismo día en el que el mismo hacker ha publicado un sistema similar para facilitar la misma táctica de compra fraudulenta esta vez para OS X.
El documento responde tres preguntas comunes sobre el proceso de seguridad usado por Apple, además de proveer una serie de APIs para eliminar las vulnerabilidades aprovechadas para circunvalar la protección de las compras in-App. Adicionalmente, en el mismo documento, Apple indica que iOS 6, que se espera se lance en octubre, solucione totalmente este problema.
La solución de Apple pasa por la validación de las compras desde un sevidor intermedio como el del propio desarrollador, en vez de validarlas directamente contra el servidor de Apple: si este proceso o la revisión del código es imposible, la seguridad básica del nuevo proceso aún así verificará la transacción a través de una ID única y si el certificado SSL del servidor de la App Store es un certificado EV.
A desarrolladores preocupados sobre las transacciones competadas se les aconseja que revaliden los recibos por los elementos consumidos como el “dinero” dentro de juegos, asumiendo que el desarrollador ha guardado los recibos. Los elementos permanentes, no consumibles, comprados por este proceso, pueden ser revalidades tras una operación de restauración.
Aunque las APIs no públicas están prohibidas en las aplicaciones iOS, Apple ha hecho una excepción en este caso para ofrecer una solución ante este asalto a la tienda. El proceso de rectificación de las aplicaciones incluye la adición de dos archivos adicionales en un proceso de cuatro pasos.
