パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

iOSのアプリ内課金における課金回避ハック、Mac向けアプリでも同種の穴が見つかる」記事へのコメント

  • つまり、それ以前のバージョンには、まだ穴があるってこと?

    • Re: (スコア:5, 参考になる)

      よくわからない流れになってるみたいですけど、iOSとは縁がないものの
      興味があったのでちょこっと調べた感じだと
      攻撃の方法はDNSのレコードを変更してAppStoreのサーバーに対する
      リクエストを偽装サーバーにリダイレクトし、偽装サーバーがAppStoreのサーバーの
      エミュレーションを行うことで支払ったかのように見せることができる、というものの
      ようですね。

      その後の報道によると、Appleはこの攻撃を防ぐことはできなかった、ようで
      現時点では
      http://developer.apple.com/library/ios/#releasenotes/StoreKit/IAP_Rece... [apple.com]

      My app performs validation by connecting to the A

      • by Anonymous Coward on 2012年07月25日 3時08分 (#2199460)

        > 攻撃の方法はDNSのレコードを変更してAppStoreのサーバーに対する
        > リクエストを偽装サーバーにリダイレクトし、偽装サーバーがAppStoreのサーバーの
        > エミュレーションを行うことで

        なんだか、数年前のMO/MMOの後付けプロテクション機構の
        ハックを見ているかのようだ。

        そのときプロテクション機構側がとった対策はFQDN以外に
        IPアドレスも埋め込んで、DNS問い合わせせずアクセスする
        手段を用意したという。

        それもnext hop書き換えてインターネットへ出て行かないように
        してしまえば無意味という間抜けな結果になっていたと思うが、
        さてAppleはどう対応してくるのやら。

        DNSSECに対応していないDNSサーバはiOS6で使えません、とか
        斜め上に行ってくれたら面白いのだけど。

        親コメント

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...