zapara Jul 13 2012 at 09:34

Реверс-инжиниринг протокола App Store

2 min

4.8K

Information Security*

+11

Comments 23

kekekeks Jul 13 2012 at 10:19

Главное чтобы AppleID потом не залочили.

zapara Jul 13 2012 at 10:20

Автор об этом нигде не упоминал, но мне кажется, что лучше для теста заюзать отдельно созданный Apple ID.

betony Jul 13 2012 at 10:38

Интересно, а есть ли электронные кошельки с пополнением через in-app purchase?

DedalX Jul 13 2012 at 12:05

Есть программы, предоставляющие реальные услуги, за in-App Purchase. К примеру «Мой юрист» (вроде так называется) где настоящий квалифицированный юрист (вроде из Москвы) развернуто отвечает конкретно на ваш заданный в программе вопрос за 10$. Думаю и других аналогичных (с другими услугами) хватает.

jeje Jul 13 2012 at 10:43

Реверс-инжиниринг — это прекрасное умение, но вот выставлять это в публичное…

LiaDesign Jul 13 2012 at 14:07

А вот как раз Наоборот. Если бы он еще и в ОпенСорс выложил — вот это дело было бы.
Мы бы не отказались от «Своего локального АппСтора с ~~Блекждеком и Шл..~~ Покупкой и inApp покупакми» для Тестов. Чтоб ни дай бог случайно не заплатить Апплу Реальный кэш при Тестах.

jeje Jul 13 2012 at 14:45

Прежде всего эпл может закрыть этот лаз, даже если он будет в опенсорс (замечу, что выкладывание в опенсорс не избавляет от ответственности). Далее, коль уже известно, что такое возможно, потребуется не много времени реализовать такое для собственных нужд.

Lerg Jul 13 2012 at 10:54

А теперь говорите как от этого защититься разработчикам…

zapara Jul 13 2012 at 10:56

Об этом лучше спросить у разработчика — zond80 (в посте есть ссылка на его блог), также через гугл можно его найти по 'zond80'.

kekekeks Jul 13 2012 at 10:59

Стучаться на свой сервер и спрашивать, не пришла ли транзакция от эппла.

silvansky Jul 13 2012 at 11:01

Поддерживаю. Доверяй, но проверяй!

LiaDesign Jul 13 2012 at 14:27

Или 3rd Party Service
или как «идейно» сказал kekekeks что «развернуто» написано тут

Piskov Jul 13 2012 at 11:01

Т. е. можно открыть приложение dropbox и купить себе 100 гиговый годовой аккаунт через in-app purchase.

Piskov Jul 13 2012 at 11:13

Если, конечно, там не настолько глупы, чтобы использовать для валидации платежа только один in-app purchase.

Halfi Jul 13 2012 at 11:43

там надо менять днс на его и вводить пароль от аппстора… гм, одному мне кажется, что он собирают базу логинов и паролей Apple ID?

zapara Jul 13 2012 at 11:46

Если у вас возникли сомнения на этот счет, тогда рекомендую создать отдельный Apple ID на период ознакомления с описанным методом; да и не обязательно на период ознакомления, можете через новый Apple ID накупить всякого добра, не жертвую основным аккаунтом.

DedalX Jul 13 2012 at 12:07

Статья для любителей халявы, но не совсем для хабра в текущем своем виде. Ведь здесь описан незаконный способ получения доступа к платной информации, по сути взлом и варез. А вот что действительно должно быть в этой статье — как от этого защититься, а главное как работает этот взлом? Что делается на ip прописываемом в DNS? По сути подмена сервера inapp purachases от Apple? Вот об этом и стоит написать подробнее, и как и что там работает с технической точки зрения. Это же хабр, а не Epidem или Nulled.

zapara Jul 13 2012 at 12:15

Я солидарен с вами, но другой информации по этому поводу пока нет. Данный пост будет интересен не только «халявщикам», но и разработчикам под iOS. В топике очень поверхностно изложен принцип работы и присутствуют контакты автора, кого эта тема заинтересовала — тот свяжется с автором и дальше уже будет действовать в зависимости от реакции.

Статей для любителей халявы более, чем достаточно на Хабре, поэтому считаю, что и эта статья имеет право на своё существование.

DedalX Jul 13 2012 at 12:20

Было бы неплохо если в статье был бы изложен хотя бы простейший пример реализации в программе для iOS и серверном скрипте на PHP (именно на этом языке пишут большинство русских разработчиков одиночек серверные части для iOS, и именно этот язык используется в большинстве подобных обучающих статей) проверки покупки через свой сервер, для защиты от способа, указанного в статье.

LiaDesign Jul 13 2012 at 14:10

Он разобрался со структурой передаваемых данных. Что, Как и Куда Уходит из Девайса и в каком виде приходит. с Подписями сертификатов. а-ля Эмулятор АппСтора.

Если делать (писать приложения) «как правильно» (с перепроверкой receipt на своем сервере), «схема» — НЕ работает. Можно спать спокойно. Паника — Отменяется.

DedalX Jul 13 2012 at 15:32

Спасибо! Именно подобной ссылки и не хватает в статье.

Anakros Jul 13 2012 at 13:13

Почему-то не заметил ваш пост, блин.

zapara Jul 13 2012 at 13:14

У вас было больше времени на написание поста :)