Cracking di App Store, un altro caso

All’inizio di questa settimana Apple ha confermato ufficialmente che 400 account iTunes sono stati “compromessi” da un developer, il vietnamita Thuat Nguyen, che li ha utilizzati per spingere in alto nella classifica della sezione libri di App Store le proprie applicazioni di nessun valore. In pratica Nguyen acquistava illecitamente i propri contenuti con account di altri utenti.

I server di iTunes, ha dichiarato Apple nel commento ufficiale diffuso sulla questione, non sono stati compromessi in alcun modo. E’ molto probabile, per non dire certo, che i dati di acceso degli account violati siano stati rubati con pratiche esterne al sistema (phishing et similia).

La situazione non appare grave, ma Ars Technica segnala un nuovo caso analogo. Un altro developer, WiiSHii Network, avrebbe utilizzato un metodo analogo per acquistare con account altrui alcune applicazioni della proprie applicazioni nella categoria Travel.

Harper Reed, unica vittima accertata per il momento, ha segnalato ad Ars di aver ricevuto fatture per l’acquisto (mai effettuato in prima persona) di applicazioni di WiiSHii Network per un totale di 168$. Le app, tutte precedute dal suffisso [GYOYO], sono guide turistiche di città cinesi, disponibili in cinese e in inglese.

A prima vista pare si possa parlare di un altro caso da aggiungere ai 400 ufficializzati da Apple. Del resto è noto che violazioni di questo genere avvengono, seppur con frequenza variabile, praticamente da quando l’App Store è nato, un paio di anni fa. Non va però sottovalutato il fatto che in questo caso la vittima non è affatto un utonto: Reed è un web developer con una buona esperienza alle spalle, e saprebbe sicuramente distinguere un tentativo di phishing.

“La password di Reed, una stringa di caratteri alfanumerici, non è facile da indovinare,” scrive Ars Technica. “Potrebbe però essere stata individuata tramite un attacco brute force. Per quanto gli hacker non siano in grado di accedere alle informazioni sugli account direttamente attraverso iTunes, è probabile che siano in corso sistematici tentativi di acquisizione delle password degli utenti al fine di utilizzare gli account per pompare le vendite e spingere in alto le app nelle classifiche”.

Casi di questo tipo sono stati segnalati a più riprese nei forum di MacRumors e pare che questo “tentativo sistematico” possa essere in atto da un po’ di tempo ed è per altro lecito supporre che i developer che operano gli acquisti truffaldini non siano le stesse persone che operano materialmente il furto dei dati degli utenti.
Secondo una dettagliata “testimonianza”, acquistare a poco prezzo i dati di accesso ad account iTunes su TaoBao (l’equivalente cinese di eBay) è semplicissimo. Si tratta di una pratica che va avanti da tempo e di cui Apple non può non essere a conoscenza e che non può continuare ad ignorare.

L’assistenza iTunes ha consigliato a Reed di contattare la sua banca per chiedere un rimborso e la sostituzione della carta di credito, lo stesso suggerimento fornito dal portavoce Apple nell’ufficializzare la violazione dei 400 account da parte di Nguyen.