Комментарии 42
play.google.com/intl/ALL_ru/about/developer-distribution-agreement.html
п.8
— по запросу Google Вы обязуетесь возместить пользователю все суммы, выплаченные им за этот Продукт.
Скорее всего упралвляют работой приложения с удалённого сервера. На время ревью оно работает как легальное приложение, после прохождения ревью — включают окно оплаты.
Пользователи делают это сознательно, так как знают, что приложение платное.
Они сознательно платят деньги мошенникам, так как мошенники умело притворяются честным разработчиком хорошего приложения (в том числе с помощью оригинального ролика, оригинального имени разработчика и фейковых отзывов на 5 звёзд).
Потом они понимают, что их обманули, но деньги уже заплатили.
Удивительно, что магазин Эппл превращается в похожую помойку.
Меня особенно радовали игры завернутые в эмуляторы пс1.
Чтобы подписаться, нужно не просто нажать левую кнопку, после нажатия всплывает системное окно, где четко и очень крупно прописана стоимость услуги.
После этого нужно еще подтвердить покупку через faceid/touchid.
Если человека такая защита не останавливает от продалбывания своих денег — тут эппл бессильна.
Условно говоря вместо псевдокода
fn onPurchaseComplete(purchaseResult, purchaseReceipt, purchaseItem) {
// послать подписанный "чек" на покупку на сервер вместе с ИД предмета и юзера для проверки верности транзакции
Server.validatePurchaseAndCreditAccount(purchaseReceipt, purchaseItem, g_UserAccountToken);
}
был написан следующий:
fn onPurchaseComplete(purchaseResult, purchaseReceipt, purchaseItem) {
if purchaseResult == PR_SUCCESS {
// колбэк говорит, что покупка удалась, дать юзеру предмет на счёт
Server.creditAccountItem(purchaseItem, g_userAccountToken);
}
else {
// что-то пошло не туда
MsgBox("Purchase fail, try again");
}
}
В итоге можно пропатчить условие в if TRUE
, можно сразу из обработчика кнопки покупки дёргать колбэк с успешным результатом.
Со временем такое сошло на нет, но ещё есть куча дыр в валидации у разработчиков, поэтому, например, твики для взлома покупок могут использовать скопированный у настоящего покупателя чек на товар (суть дыры — сервер не сопоставляет ИД покупки с аккаунтом и не проверяет, встречался ли уже такой чек), или даже сгенерённый локально (суть дыры — сервер не связывается с эплом для валидации подписи и опирается чисто на факт существования чека).
Вообще, этот Коста лучше бы помалкивал. Тута дано понимать, что скамеры фигачили ФБ траф, а у этого Косты органика, то есть, аудитория никак, вообще никак не пересекаются и если бы не скамеры, миллионы людей бы и не узнали, что есть какие-то там клавиатуры для часов.
Жулики против разработчиков приложений Apple. Как потерять два миллиона долларов и не подать виду