「iOS」のアプリ内購入を迂回するエクスプロイト、アップルが対応策を公開

　アプリケーション内で販売されている有料のアドオンコンテンツを無料で入手できるエクスプロイトについて、Appleは対処方法の概要を「iOS」開発者に示した。

　Appleは米国時間7月19日に公開したサポート文書の中で、詳細な指針を提示するとともに、開発者に対し同社の領収確認システムを利用するよう強く求めた。同システムでは、アプリケーション内で行われた決済をAppleが保持する記録と照合する。Appleはまた、2012年中にリリースを予定している次期バージョンのiOSでこうしたことが起こらないよう、さらなる予防策を講じるとも述べている。

　Appleで広報を担当するTom Neumayr氏は米CNETに対し、次のように述べた。「開発者は、不正なアプリ内購入による被害から身を守るため、developer.apple.comに記載されたベストプラクティスに従ってほしい。これについては『iOS 6』でも対処する予定だ」

　このエクスプロイトはロシア人プログラマーのAlexey V. Borodin氏が開発したもので、先週末に表面化した。プロキシシステムを利用して購入リクエストをサードパーティーのサーバに送信し、そこでリクエストを認証した後、取引が完了したように見せかけて元のアプリケーションに返すという仕組みだ。この仕組みを利用するには、端末に特別なセキュリティ証明書をインストールし、Wi-Fiネットワークに接続しておく必要がある。

　新たに公開されたサポート文書には、Appleの領収確認システムを利用した防御策を設定する方法の詳細や、すでに完了した取引の内容を検証するための手順などが記載されている。Appleはこうした情報をサイトに掲載するだけでなく、電子メールを開発者に送信し、領収確認システムを利用するよう呼びかけている。

開発者あてに送付された電子メール
提供：CNET