パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

iOSのアプリ内課金における課金回避ハック、Mac向けアプリでも同種の穴が見つかる」記事へのコメント

  • つまり、それ以前のバージョンには、まだ穴があるってこと?

    • Re: (スコア:5, 参考になる)

      よくわからない流れになってるみたいですけど、iOSとは縁がないものの
      興味があったのでちょこっと調べた感じだと
      攻撃の方法はDNSのレコードを変更してAppStoreのサーバーに対する
      リクエストを偽装サーバーにリダイレクトし、偽装サーバーがAppStoreのサーバーの
      エミュレーションを行うことで支払ったかのように見せることができる、というものの
      ようですね。

      その後の報道によると、Appleはこの攻撃を防ぐことはできなかった、ようで
      現時点では
      http://developer.apple.com/library/ios/#releasenotes/StoreKit/IAP_Rece... [apple.com]

      My app performs validation by connecting to the A

      • AppとAppStoreがどんなプロトコルで通信しているのか知りませんが
        httpsのようにリクエスト先が正しいか確認する仕組みは無いのでしょうか。

        • by Anonymous Coward on 2012年07月25日 9時50分 (#2199544)

          それをごまかすために証明書をインストールするんです。認証局証明書としてインストールされてしまったら(何らかのハードコードをしない限り)もう正規のものと区別は不可能です。

          親コメント

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...