苹果公司对发现绕过iOS应用内购买验证过程的方法做出回应,公布了旨在遏制这种做法的修复程序。
该公司已经向其开发者库添加了一系列“最佳实践”,并发布了两个私有API,实现后可确保应用程序不会受到攻击。
玩支付
俄罗斯黑客阿列克谢·v·鲍罗丁(Alexey V. Borodin)揭露的这一漏洞允许用户绕过App Store的服务器免费下载游戏内容。
收据验证请求被重定向到由Borodin维护的代理服务器。
因此,据《卫报》报道,迄今为止,已有超过840万次虚假的应用内购买。
游戏结束
苹果声称,实现上述API的开发者应该知道更容易受到这种技术的攻击,尽管在iOS 6发布之前,安全漏洞不会被永久堵塞。
“通过检查苹果关于iOS 6中应用内购买的声明,我可以说,目前的游戏已经结束了,”鲍罗廷谈到苹果的回应时说。
“目前我们没有办法绕过更新的API。这对每个人来说都是一个好消息——我们在iOS中更新了安全性,开发者有了他们的空中资金。但是,在iOS 6发布之前,这项服务仍将继续运营。”
【来源:苹果】