アカウント名:
パスワード:
つまり、それ以前のバージョンには、まだ穴があるってこと?
よくわからない流れになってるみたいですけど、iOSとは縁がないものの興味があったのでちょこっと調べた感じだと攻撃の方法はDNSのレコードを変更してAppStoreのサーバーに対するリクエストを偽装サーバーにリダイレクトし、偽装サーバーがAppStoreのサーバーのエミュレーションを行うことで支払ったかのように見せることができる、というもののようですね。
その後の報道によると、Appleはこの攻撃を防ぐことはできなかった、ようで現時点では http://developer.apple.com/library/ios/#releasenotes/StoreKit/IAP_Rece... [apple.com] のMy app performs validation by connecting to the A
AppとAppStoreがどんなプロトコルで通信しているのか知りませんがhttpsのようにリクエスト先が正しいか確認する仕組みは無いのでしょうか。
それをごまかすために証明書をインストールするんです。認証局証明書としてインストールされてしまったら(何らかのハードコードをしない限り)もう正規のものと区別は不可能です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
iOS 6では"完全"に修正? (スコア:0)
つまり、それ以前のバージョンには、まだ穴があるってこと?
Re: (スコア:5, 参考になる)
よくわからない流れになってるみたいですけど、iOSとは縁がないものの
興味があったのでちょこっと調べた感じだと
攻撃の方法はDNSのレコードを変更してAppStoreのサーバーに対する
リクエストを偽装サーバーにリダイレクトし、偽装サーバーがAppStoreのサーバーの
エミュレーションを行うことで支払ったかのように見せることができる、というものの
ようですね。
その後の報道によると、Appleはこの攻撃を防ぐことはできなかった、ようで
現時点では
http://developer.apple.com/library/ios/#releasenotes/StoreKit/IAP_Rece... [apple.com]
の
My app performs validation by connecting to the A
Re: (スコア:2)
AppとAppStoreがどんなプロトコルで通信しているのか知りませんが
httpsのようにリクエスト先が正しいか確認する仕組みは無いのでしょうか。
Re:iOS 6では"完全"に修正? (スコア:0)
それをごまかすために証明書をインストールするんです。認証局証明書としてインストールされてしまったら(何らかのハードコードをしない限り)もう正規のものと区別は不可能です。