En Apple, la seguridad de la tienda de aplicaciones de la compañía para Mac ha quedado en entredicho. Un hacker ha conseguido aprovechar un fallo de seguridad en la Mac App Store que permite a los usuarios comprar aplicaciones sin pagar por estas aplicaciones.
Solo hace una semana se dio a conocer el hackeo de la App Store de iOS, el sistema operativo móvil. Un hacker ruso conseguía aprovechar un exploit en la tienda de aplicaciones móviles de modo que permitía la descarga de sus contenidos de forma gratuita. Apple no tardó en reaccionar ante la gran cantidad de beneficios económicos que le supone esta plataforma, corrigiendo el fallo.
Sin embargo, ahora la compañía vuelve a verse comprometida con su seguridad y de nuevo es el mismo hacker es el que pone en aprietos al gigante de la manzana. Un exploit similar ha sido descubierto en la Mac App Store de modo que se pueden comprar todas las aplicaciones alojadas en este servicio sin pagar por alguna ellas como lo muestra el siguiente video:
Como detalla el hacker, el proceso seguido es similar al que sirvió para comprometer la seguridad de la App Store. A través de una herramienta denominada In-Appstore for OS X, consigue suplantar la identidad instalando dos certificados locales y cambiando los servidores DNS de modo que es el servidor del hacker el que intercepta todas las llamadas de la Mac App Store y devuelve certificados válidos para la aplicación. Así queda simulada la validación de la compra y el usuario dispone de las aplicaciones de forma gratuita.
Si bien sabemos el proceso de validación en la Mac App Store es más fuerte que el de iOS, el exploit funciona y los desarrolladores de la plataforma ya se han visto afectados. A pesar de que los tickets de compra de las aplicaciones para Mac están firmados por Apple y cuentan con un identificador único que permite una sola instalación, el propio hacker ha confirmado que es posible instalar aplicaciones de pago de forma gratuita sin que los programadores puedan hacer algo al respecto.
Suerte para la manzana mordida.
