「iOS」のアプリ内購入を迂回するエクスプロイト、アップルが対応策を公開

Josh Lowensohn (CNET News) 翻訳校正: 湯本牧子 吉武稔夫2012年07月21日 10時27分

 アプリケーション内で販売されている有料のアドオンコンテンツを無料で入手できるエクスプロイトについて、Appleは対処方法の概要を「iOS」開発者に示した。

 Appleは米国時間7月19日に公開したサポート文書の中で、詳細な指針を提示するとともに、開発者に対し同社の領収確認システムを利用するよう強く求めた。同システムでは、アプリケーション内で行われた決済をAppleが保持する記録と照合する。Appleはまた、2012年中にリリースを予定している次期バージョンのiOSでこうしたことが起こらないよう、さらなる予防策を講じるとも述べている。

 Appleで広報を担当するTom Neumayr氏は米CNETに対し、次のように述べた。「開発者は、不正なアプリ内購入による被害から身を守るため、developer.apple.comに記載されたベストプラクティスに従ってほしい。これについては『iOS 6』でも対処する予定だ」

 このエクスプロイトはロシア人プログラマーのAlexey V. Borodin氏が開発したもので、先週末に表面化した。プロキシシステムを利用して購入リクエストをサードパーティーのサーバに送信し、そこでリクエストを認証した後、取引が完了したように見せかけて元のアプリケーションに返すという仕組みだ。この仕組みを利用するには、端末に特別なセキュリティ証明書をインストールし、Wi-Fiネットワークに接続しておく必要がある。

 新たに公開されたサポート文書には、Appleの領収確認システムを利用した防御策を設定する方法の詳細や、すでに完了した取引の内容を検証するための手順などが記載されている。Appleはこうした情報をサイトに掲載するだけでなく、電子メールを開発者に送信し、領収確認システムを利用するよう呼びかけている。

開発者あてに送付された電子メール
開発者あてに送付された電子メール
提供:CNET

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]