Il negozio online di Apple è un vero capolavoro: sicuro, controllato e strabordante di app adatte a qualsiasi esigenza. Qualche difetto, però. c”è A trovarlo è stato un hacker russo che si fa chiamare ZonD80, che ha pubblicato un video su YouTube in cui spiega come “rubare” acquisti su Apple Store. Sviluppatori nel mirino La falla di sicurezza di Apple Store riguarda il sistema di crittografia utilizzato per inviare i certificati di pagamento degli acquisti “in-app”. Questi ultimi sono quegli acquisti eseguiti non direttamente nello store, ma attraverso le app scaricate e installate che permettono di acquistare contenuti aggiuntivi. Un sistema utilizzato moltissimo dagli sviluppatori, soprattutto nel campo dei videogiochi. Gli acquisiti in-app. infatti, sfruttano un meccanismo psicologico molto efficace: le app, generalmente, possono essere scaricate e installate gratuitamente. Il pagamento è richiesto solo per funzioni o. nel caso dei videogiochi, livelli aggiuntivi. In questo modo gli sviluppatori possono contare su una specie di “effetto assuefazione”: il cliente si appassiona al gioco al punto tale da spendere somme ben superiori a quelle che avrebbe pagato per acquistare un’app. Vecchi guai Il sistema di acquisti in-app aveva già suscitato aspre critiche in passato. Al contrario di quanto avveniva sullo store, infatti, in un primo tempo non richiedevano l’inserimento della password. Risultato: una folla di genitori furiosi che si erano trovati il conto corrente dissanguato a causa degli acquisti eseguiti dai figlioletti, lasciati da soli a giocare con i videogame su iPad e “ingannati” dalla possibilità di ottenere facilmente nuovi oggetti e potenziamenti del loro gioco preferito. Poi Apple ha messo una pezza alla vicenda, rendendo la password obbligatoria anche per gli acquisti in-app. Adesso, però, le vittime del sistema di acquisto non sono più gli utenti, ma gli sviluppatori. Tre modifiche per un furto Il sistema messo a punto da ZonD80 richiede di apportare alcune modifiche alle impostazioni del dispositivo. Si tratta della sostituzione di due certificati e del cambiamento del server DNS utilizzato per la connessione a Internet. In pratica, con queste modifiche l’iPhone o iPad si connette a un falso negozio, che l’hacker russo ha battezzato “in-app Store” utilizzando per la transazione i due (falsi) certificati digitali. Per le app in questione, risulta invece tutto regolare. Modificando il DNS inserendo quello messo a punto da ZonD80. infatti, l’indirizzo a cui il dispositivo si collega per eseguire la transazione sembra corretto. In realtà il server “taroccato” lo dirotta su un indirizzo IP diverso. Ovviamente tutto questo è assolutamente illegale e rappresenta un furto a tutti gli effetti. Nessuna soluzione? Appena si è sparsa la notizia, molti sviluppatori hanno pensato di aggirare il pericolo utilizzando un sistema di verifica gestito in proprio. A raffreddare gli animi ci ha pensato lo stesso ZonD80. che ha pubblicato sul suo sito Web un diagramma che mostra come questo accorgimento sia inutile. Basterebbe infatti modificare il livello a cui agisce il suo in-app store per ingannare anche questo sistema di certificazione. La palla ora passa a Apple, che sul traffico di applicazioni per iOS ha basato buona parte del successo dei suoi prodotti. Una soluzione, quindi, è d’obbligo. Gli esperti di Apple sono già al lavoro e hanno approntato un rimedio che dovrebbe per lo meno arginare il problema. La soluzione definitiva arriverà con il rilascio del nuovo iOS6.