1. Zuhause
  2. Frage und Antwort
  3. IAP Risse, die gültige Quittungen zu haben scheinen

IAP Risse, die gültige Quittungen zu haben scheinen

2016-06-15 12 views
6

Wir haben eine erfolgreiche App im iOS App Store mit In-App-Käufen. Jedes Mal, wenn ein Kauf abgeschlossen ist, senden wir die Quittung an unseren Server, unser Server dann überprüft die Quittung mit Apple-Servern und protokolliert Apples Antwort (einschließlich, ob der Kauf gültig war und dass sie von unserer App zu diesem Zeitpunkt und Datum kommen).IAP Risse, die gültige Quittungen zu haben scheinen

Wir haben ziemlich viele Benutzer, die iap Risse verwenden, die uns Quittungen senden, die Apple sagt, sind ungültig. Wie auch immer, wir begannen jetzt, Betrüger zu sehen, die Quittungen haben, dass Apple-Antworten GÜLTIG sind. Was in diesen Cheats merkwürdig ist, ist, dass, wenn ein solcher Betrüger Nutzer in unserer App kauft, er normalerweise alle Einkäufe mit dem exakt gleichen Kaufbeleg kauft.

Haben Sie schon von so gehört zu ‚Narr‘ Apfel Eingang Validierung? (Auf Einnahmen zu generieren, dass Apple sagen, dass sie von unserer App in der Zeit der ‚Kauf‘) sind

Gibt es etwas, was wir können tun, um diese Betrüger in ihrem ersten Kauf zu finden (für die nächsten Einkäufe können wir einfach überprüfen Zeiten der nächsten Quittungen oder stellen Sie sicher, dass unsere Quittungen einzigartig sind)

Vielen Dank!

Quelle

2016-06-15 AJ222

+0

Ich würde vorschlagen, die Apple-Foren sind wahrscheinlich eine bessere Informationsquelle – Wain

+0

Ich habe auch genau dieses gleiche Problem. – WMios

Antwort

1

Gibt es etwas, das wir diese Betrüger in ihrem ersten Kauf tun können

Eigentlich zu finden, ob dies der gleiche Hack habe ich als Proof of Concept ist der erste Kauf vor kurzem diskutiert gesehen legitim. Die "Innovation" besteht darin, diesen legitimen Empfang zu dekodieren und seine IAP-ID mit einem anderen zu rejigieren, während der Empfang insgesamt immer noch gültig erscheint. Also reicht es einfach, die Duplikate zu vermeiden. Ich dachte nicht, dass man produktionsfertig wäre, aber das könnte etwas anderes sein.

Quelle

2016-07-05 02:12:45

0

Wir hatten auch ein ähnliches Problem während der Entwicklung eines Spiels von iOS App Store, wo Geschäftsmodell nur auf In App Purchase basiert.

Ursprünglich haben wir uns bei Apple Servern nach den Quittungen direkt vom Gerät erkundigt. Aber einige Hacker haben einen Hack für die Benutzer erstellt, wo sie das DNS-Serverzertifikat auf ihrem Gerät installieren können, das die Antwort von Apple spoofiert.

Der Weg, dies zu tun ist, lassen Sie Web-Server für die Quittungen von Apple direkt mit einer Art von Hashing oder MD5 überprüfen, um sicherzustellen, dass die Antwort, wenn von Apple.

hier ist ein Link, der auf diesem https://www.objc.io/issues/17-security/receipt-validation/

hoffe, das hilft eine detaillierte Information haben.

Quelle

2016-07-06 05:44:16

+0

Wir überprüfen die Quittungen vom Server. Nicht vom Kunden. Vielen Dank – AJ222

Verwandte Themen

 Verwandte Themen