zapara 13 июл 2012 в 13:34

Реверс-инжиниринг протокола App Store

2 мин

4.7K

Информационная безопасность*

+11

Комментарии 23

kekekeks 13 июл 2012 в 14:19

Главное чтобы AppleID потом не залочили.

zapara 13 июл 2012 в 14:20

Автор об этом нигде не упоминал, но мне кажется, что лучше для теста заюзать отдельно созданный Apple ID.

betony 13 июл 2012 в 14:38

Интересно, а есть ли электронные кошельки с пополнением через in-app purchase?

DedalX 13 июл 2012 в 16:05

Есть программы, предоставляющие реальные услуги, за in-App Purchase. К примеру «Мой юрист» (вроде так называется) где настоящий квалифицированный юрист (вроде из Москвы) развернуто отвечает конкретно на ваш заданный в программе вопрос за 10$. Думаю и других аналогичных (с другими услугами) хватает.

jeje 13 июл 2012 в 14:43

Реверс-инжиниринг — это прекрасное умение, но вот выставлять это в публичное…

LiaDesign 13 июл 2012 в 18:07

А вот как раз Наоборот. Если бы он еще и в ОпенСорс выложил — вот это дело было бы.
Мы бы не отказались от «Своего локального АппСтора с ~~Блекждеком и Шл..~~ Покупкой и inApp покупакми» для Тестов. Чтоб ни дай бог случайно не заплатить Апплу Реальный кэш при Тестах.

jeje 13 июл 2012 в 18:45

Прежде всего эпл может закрыть этот лаз, даже если он будет в опенсорс (замечу, что выкладывание в опенсорс не избавляет от ответственности). Далее, коль уже известно, что такое возможно, потребуется не много времени реализовать такое для собственных нужд.

Lerg 13 июл 2012 в 14:54

А теперь говорите как от этого защититься разработчикам…

zapara 13 июл 2012 в 14:56

Об этом лучше спросить у разработчика — zond80 (в посте есть ссылка на его блог), также через гугл можно его найти по 'zond80'.

kekekeks 13 июл 2012 в 14:59

Стучаться на свой сервер и спрашивать, не пришла ли транзакция от эппла.

silvansky 13 июл 2012 в 15:01

Поддерживаю. Доверяй, но проверяй!

LiaDesign 13 июл 2012 в 18:27

Или 3rd Party Service
или как «идейно» сказал kekekeks что «развернуто» написано тут

Piskov 13 июл 2012 в 15:01

Т. е. можно открыть приложение dropbox и купить себе 100 гиговый годовой аккаунт через in-app purchase.

Piskov 13 июл 2012 в 15:13

Если, конечно, там не настолько глупы, чтобы использовать для валидации платежа только один in-app purchase.

Halfi 13 июл 2012 в 15:43

там надо менять днс на его и вводить пароль от аппстора… гм, одному мне кажется, что он собирают базу логинов и паролей Apple ID?

zapara 13 июл 2012 в 15:46

Если у вас возникли сомнения на этот счет, тогда рекомендую создать отдельный Apple ID на период ознакомления с описанным методом; да и не обязательно на период ознакомления, можете через новый Apple ID накупить всякого добра, не жертвую основным аккаунтом.

DedalX 13 июл 2012 в 16:07

Статья для любителей халявы, но не совсем для хабра в текущем своем виде. Ведь здесь описан незаконный способ получения доступа к платной информации, по сути взлом и варез. А вот что действительно должно быть в этой статье — как от этого защититься, а главное как работает этот взлом? Что делается на ip прописываемом в DNS? По сути подмена сервера inapp purachases от Apple? Вот об этом и стоит написать подробнее, и как и что там работает с технической точки зрения. Это же хабр, а не Epidem или Nulled.

-4

zapara 13 июл 2012 в 16:15

Я солидарен с вами, но другой информации по этому поводу пока нет. Данный пост будет интересен не только «халявщикам», но и разработчикам под iOS. В топике очень поверхностно изложен принцип работы и присутствуют контакты автора, кого эта тема заинтересовала — тот свяжется с автором и дальше уже будет действовать в зависимости от реакции.

Статей для любителей халявы более, чем достаточно на Хабре, поэтому считаю, что и эта статья имеет право на своё существование.

DedalX 13 июл 2012 в 16:20

Было бы неплохо если в статье был бы изложен хотя бы простейший пример реализации в программе для iOS и серверном скрипте на PHP (именно на этом языке пишут большинство русских разработчиков одиночек серверные части для iOS, и именно этот язык используется в большинстве подобных обучающих статей) проверки покупки через свой сервер, для защиты от способа, указанного в статье.

-3

LiaDesign 13 июл 2012 в 18:10

Он разобрался со структурой передаваемых данных. Что, Как и Куда Уходит из Девайса и в каком виде приходит. с Подписями сертификатов. а-ля Эмулятор АппСтора.

Если делать (писать приложения) «как правильно» (с перепроверкой receipt на своем сервере), «схема» — НЕ работает. Можно спать спокойно. Паника — Отменяется.