Qualche tempo fa iRev e DarkApples avevano scovato una grossa falla di sicurezza nelle applicazioni per iPad di quotidiani e riviste, in pratica, tramite un exploit, era possibile leggere gratuitamente quei contenuti normalmente disponibili solo a pagamento.
Molti editori si sono quindi messi a lavoro per risolvere questo piccolo “problema”, ma a quanto pare con scarsi risultati, dato che Andrea Draghetti di Over Security ha scoperto e svelato (in parte, per non creare problemi agli editori) un metodo per leggere “a scrocco” i contenuti a pagamento.
Nello specifico, lo stesso Andrea spiega il meccanismo di questo nuovo exploit per “fregare” il sistema di In-App Purchase:
Dopo una attenta analisi dei pacchetti di rete ricevuti ed inviati (packet sniffer) da ogni singola applicazione è possibile determinare la fonte dei quotidiani o riviste, successivamente sfruttando la tecnica di spoofing è possibile accedere direttamente da Safari al contenuto desiderato evitando il pagamento tramite l’In-App Purchase del contributo richiesto dall’editore.
Viene dimostrato il funzionamento dell’exploit su un ristretto numero di Riviste ed un Quotidiano ma è possibile estendere tale tecnica anche per la lettura di altre testate.
Il video qui sotto mostra alcune testate “violabili” con questa nuova tecnica, tra le tante citiamo Repubblica, PSM, Mac Magazine, The Games Machine e Computer Magazine.
[via]
Il problema della sicurezza è un classico dei mezi digitali. E lo diventerà ancora di più col tempo che passa!