Hace solo una semana conocíamos el hackeo de la App Store de iOS, el sistema operativo móvil de la compañía de Cupertino. Un hacker ruso conseguía aprovechar un exploit en la tienda de aplicaciones móviles de modo que permitía la descarga de sus contenidos de forma gratuita. Apple no tardó en reaccionar ante la gran cantidad de beneficios económicos que le supone esta plataforma, corrigiendo el fallo y dando a los desarrolladores de apps un cifrado de compra en sus servidores.

Sin embargo, la compañía vuelve a ver comprometida su seguridad y de nuevo es el mismo programador el que pone en aprietos al gigante de la manzana mordida. Un exploit similar ha sido descubierto en la Mac App Store de modo que se pueden comprar todas las aplicaciones alojadas en este servicio sin pagar por ellas.

Tal y como detalla el hacker, el proceso seguido es similar al que sirvió para comprometer la seguridad de la App Store. A través de una herramienta denominada In-Appstore for OS X, consigue suplantar la identidad instalando dos certificados locales y cambiando los servidores DNS de modo que es el servidor del hacker el que intercepta todas las llamadas de la Mac App Store y devuelve certificados válidos para la aplicación. Así queda simulada la validación de la compra y el usuario dispone de las aplicaciones de forma gratuita.

Aunque el proceso de validación en la Mac App Store es más fuerte que el de iOS, el exploit funciona y los desarrolladores de la plataforma ya se han visto afectados. A pesar de que los tickets de compra de las aplicaciones para Mac están firmados por Apple y cuentan con un identificador único que permite una sola instalación, el propio hacker ha confirmado que es posible instalar aplicaciones de pago de forma gratuita sin que los programadores puedan hacer nada para evitar verse afectados.

Será Apple quien tenga que mover ficha con celeridad. Sus beneficios están tan comprometidos como los de los desarrolladores, quienes podrían emprender algún tipo de acción contra la compañía puesto que el fallo de seguridad les puede dejar sin su fuente de ingresos.

 

Fuente: adslzone