Hace unas semanas, os comentamos que un hacker descubrió un fallo de seguridad en la App Store de iOS que permitía usuarios realizar compras a través de las aplicaciones sin pagar absolutamente nada. Apple ya corrigió el error dando a los desarrolladores una forma de cifrar y verificar los “tickets” de compra con sus servidores, pero ahora le ha surgido otro problema: el mismo hacker ha publicado un exploit similar para la Mac App Store.
El proceso es prácticamente igual al que os explicamos. Instalando unos certificados de seguridad y cambiando los servidores DNS, el servidor de Borodin intercepta las llamadas a la Mac App Store y devuelve certificados válidos a la aplicación, que lo recibe como si hubieses comprado el contenido.
Sin embargo, hay algunas diferencias: en Mac, los tickets de compra están firmados por Apple y cuentan con un identificador único para cada ordenador, de forma que los tickets son válidos para una única instalación de la aplicación. El proceso de validación es en general más fuerte que el de iOS, y esto en teoría debería dificultar el ataque. Hemos contactado con Alexey Borodin para ver si podemos aclarar estos aspectos y actualizaremos en cuanto tengamos una respuesta.
Sea como sea, el exploit funciona y los desarrolladores de la Mac App Store se van a ver afectados. Todavía no sabemos qué prácticas deben seguir los programadores para no verse afectados, así que la mejor esperanza que les queda es que Apple libere un parche a tiempo para Mountain Lion.
Vía | Applesfera
Más información | OS X Developer Library
Ver 34 comentarios
34 comentarios
ajjjj
Se veia venir, el windows es una mierda, y microsoft no tiene ni idea de sistemas de seguridad ni anti-hacking... mmm... estooo.. perdón, que he posteado en la noticia que no era.
WaxiMxi
Fallo de seguridad en apple? no puede ser acaso no usan linux en sus servidores? xD
otro mas
A mi lo que me sorprende es que los desarrolladores no pidan compensacion por un fallo que no es suyo. Ellos tienen un certificado de venta valido. Si el store ha tenido un fallo, lo logico es que la tienda se haga cargo de las perdidas. Es lo mismo que pasa con las tarjetas de credito.
Jhonatan Palencia
Esto lo único que demuestra es que NO EXISTE el sistema operativo perfecto, y todos están susceptibles a fallas.
110796
No voy a regodearme de errores como este, aunque admito que realmente cuando se encuentra un error de seguridad en Windows/Microsoft Se lo destroza. Esperemos, que saquen la actualización desde Apple lo mas rápido posible asi no se sigue perjudicando a los Desarrolladores...
82751
Miguel López... Dónde estás?...
normanhf9
no se supone que Mac OSX "GARANTIZA QUE ES UN SISTEMA UNIX" -- seguro, fiable.
krollian
Hemos contactado con Alexey Borodin...
Perdonad mi atrevimiento en decir que un señor al que le habrá costado un esfuerzo tremendo en recursos, dinero y tiempo, manipular los sistemas de seguridad de compra de un servicio como la App Store y ahora la Mac App Store, se ponga a dar explicaciones y detalles de lo que ha conseguido...
Me parece muy iluso por parte de Genbeta o el autor del artículo a no ser que tenga confianza y contacto directo o indirecto con el autor de la cosa. Y sí, pueda tener el detalle entonces de explicar generalidades del asunto.
s_48k
Cada vez se demuestra más que la seguridad de Apple se basa en 3 pilares fundamentales: El marketing (falsa sensación de seguridad), la ocultación de los errores (negación) y finalmente la baja cuota de mercado. A medida que vaya aumentando esta última, en caso de que no hayan llegado ya a su techo, irán teniendo cada vez más y más problemas de seguridad. Ni siquiera su marketing podrá maquillarlo.
icgo.advance
He intentado usar el hack pero no funciona.
neogeoweb
Al parece da mucha satisfacción hackear un sistema cerrado. Siempre he preferido utilizar sistemas abiertos y no tener que hacer esas cosas. Ejemplo deberían tomar las Universidades públicas en tiempos de crisis http://q.gs/19oQU
soyelvis
A ver... miles de personas han sido afectadas y ustedes festejan que hackearon Apple? Es como celebrar el cierre de Megaupload porque usas Rapidshare! Alguien por favor puede pensar en los niños? (desconosco si en Simpsons España la frase es igual)
mexicos
Supongo que hasta a los grandes les ocurren errores como estos, vamos, me puedo un pequeño error en la autentificacion de la tarjeta de credito y la vulnerabilidad en una base de datos mysql,
darkness69
Aburren siempre los mismos comentarios antiapple. Yo he dejado colgados sistemas mucho más seguros en grandes instalaciones con un poco de imaginación y conocimientos, se trata de que todo sistema tiene puntos débiles. Eso incluye Mac, Windows, Linux, y otros sistemas.