1. casa
  2. Domanda e risposta
  3. Crepe IAP che sembrano avere ricevute valide

Crepe IAP che sembrano avere ricevute valide

2016-06-15 12 views
6

Abbiamo un'app di successo nell'app store iOS con acquisti in-app. Ogni volta che un acquisto è completato, inviamo la ricevuta al nostro server, il nostro server che controlla la ricevuta con i server di Apple e registra la risposta di Apple (incluso se l'acquisto è valido e che proviene dalla nostra app in quella stessa data e ora).Crepe IAP che sembrano avere ricevute valide

Abbiamo un bel po 'di utenti che usano le cricche di iap che ci inviano ricevute che Apple dice non valide. Tuttavia, ora abbiamo iniziato a vedere cheaters che hanno ricevute che Apple risponde VALIDE. Ciò che è strano in questi trucchi, è che quando un utente di questo tipo acquista nella nostra app, di solito acquista tutti gli acquisti con la stessa identica ricevuta.

Avete sentito parlare di un modo per 'stolto' convalida ricevimento mela? (Per generare le entrate che Apple dicono che sono dalla nostra applicazione nel tempo della 'acquisto')

C'è qualcosa che possiamo fare per trovare quegli imbroglioni nel loro primo acquisto (per i prossimi acquisti possiamo semplicemente controllare gli orari delle prossime ricevute o assicurarci che le nostre entrate siano uniche)

Grazie!

fonte

2016-06-15 AJ222

+0

Suggerirei che i forum Apple sono probabilmente una fonte di informazioni migliore – Wain

+0

Anche io ho lo stesso identico problema. – WMios

risposta

1

C'è qualcosa che possiamo fare per trovare quei truffatori nel loro primo acquisto

In realtà, se questo è lo stesso trucco che ho visto discusso come un proof of concept di recente, il primo acquisto è legittimo. L '"innovazione" sta decodificando quella ricevuta legittima e rigenera il suo ID IAP con uno diverso mentre la ricevuta complessiva sembra ancora valida. Quindi è sufficiente evitare i duplicati. Non pensavo che fosse vicino alla produzione, però, quindi potrebbe essere qualcosa di diverso.

fonte

2016-07-05 02:12:45

0

Abbiamo anche affrontato un problema simile durante lo sviluppo di un gioco di app store iOS in cui il modello di business era basato esclusivamente su acquisto di app.

Inizialmente avevamo l'abitudine di verificare con Apple Server le ricevute direttamente dal dispositivo. Ma alcuni hacker hanno creato un trucco per gli utenti in cui possono installare il certificato del server DNS sul loro dispositivo che altera la risposta di Apple.

Il modo per farlo è lasciare che il server web controlli le ricevute direttamente da Apple con qualche tipo di hashing o controllo md5 per assicurarsi che la risposta provenga da Apple.

Questo è il link che hanno informazioni dettagliate su questo https://www.objc.io/issues/17-security/receipt-validation/

Spero che questo aiuti.

fonte

2016-07-06 05:44:16

+0

Controlliamo le ricevute dal server. Non dal cliente. Grazie – AJ222

Problemi correlati

 Problemi correlati