Une faille importante dans les achats in-app de l’Appstore

Le week-end dernier, un développeur russe a dévoilé une méthode permettant de se procurer gratuitement du contenu payant pour applications iOS.

Connu sous le nom de ZonD80, le bidouilleur russe a révélé qu’une faille du système de paiement in-app permettait d’obtenir du contenu payant sans dépenser un centime. L’astuce consiste à passer par un serveur distant qui aura été spécialement configuré pour la manipulation. Ainsi avec cette technique n’importe quel terminal iOS même non jailbreaké peut disposer de contenus payants gratuitement. De plus, la manipulation peut être effectuée avec n’importe quelle version d’iOS de 3.0 à 6.0.

Le hacker a même mis en place un site permettant d’exploiter la faille, in-appstore.com. Ce dernier a notamment pour but d’expliquer comment procéder pour exploiter la faille. Une récolte de dons a même été organisée afin d’être en mesure de financer le développement du projet et le bon fonctionnement des serveurs. Selon des chiffres en provenance de The Next Web, 30 000 cas de fraude auraient d’ores et déjà été enregistrés dernièrement.

En ce qui concerne les développeurs des applications, ceux qui utilisent leurs propres serveurs pour les paiements in-app seraient non concernés par le hack. Face a ce problème majeur, Apple a déclaré travailler à un correctif qui devrait être déployé très rapidement.