AliExpress — это один из крупнейших интернет-магазинов, продающих товары в розницу и мелким оптом. 11 марта они начали акцию «Фестиваль шопинга», играя в мини игры вы набираете «фестивальные монеты», а затем обмениваете их на скидочные купоны. Но китайцы оставили некоторые возможности сильно облегчающие майнинг монет…
Какие игры нам предлагают и в чём их уязвимости?
Первая игра, которая была доступна пользователям, хотя и с некоторыми оговорками:
Как и все остальные игры Discount Defender сделан на JS. Хоть это и в тренде, но пользователи слабых устройств испытывают проблемы с производительностью. Помните про «три попытки через мобильное приложение»? Мобильное приложение это несколько кастомизированое WebView с мобильной версией сайта поэтому, мобильная версия игры так же реализована на JS. В компьютерной версии вы должны курсором мыши разрезать шары, в мобильной версии ваш «курсор» оставляет шлейф, который так же является активной зоной. Только, если антибонусы об шлейф активируются всегда, то бонусы через раз. Не смотря на то, что моё устройство далеко не бюджетное сама игра нередко зависает, а сам шлейф отрисовывается с немалой задержкой. Но как же получить нечестные очки через это приложение? Количество очков передаётся на сервер в открытом виде.
Игра примитивнейший файтинг: нажимаешь на левую кнопку мыши/пробел и твой персонаж бьёт быстрее. Кажется, что может быть проще в хакинге? Примитивнейший автокликер с частотой в 1м/c должен легко побеждать компьютерного противника… Но на самом деле «честная» игра идёт лишь до нного количества монет у вас (для меня это 2000) или двух побед подряд, как бы быстро вы ни кликали, вы будете проигрывать. Сценарии игры заскриптованы и раунд всегда заканчивается с одинаковым количеством здоровья для вас или компьютерного противника.
Простая рулетка: 12 возможных вариантов из которых 1 проигрышный (5 очков), 1 нейтральный (10 очков), 10 выигрышных (от 15 до 800 очков).
Главной проблемой игры можно назвать её длительность. Примерно минуту вы ждёте, чтобы узнать результат раунда.
Второе после “Discount Defender» мобильное приложение. Суть проста: встряхиваешь телефон и получаешь 1, 2, 5, 15, 50 или 0 монет. Сначала я думал, что можно хакать монеты с помощью просто контроллера и сервопривада, встряхивая телефон, но это опасно и неудобно. Поэтому, на помощь вновь приходит перехват запросов.
Подробная инструкция в паблике VK
Третье мобильной приложение. Вы стираете «защитный слой» и обнаруживаете под ним кнопку «тереть снова» и информацию о выигрыше. Что интересно, приложение работает и без интернета.
Кажется, что можно использовать уже проверенный способ с перехватом запросов? Как ни странно, этот способ не работает, но не стоит унывать! С помощью программы Android Bot Maker вы можете создать макросы для устройства. Нам понадобятся два свайпа и клик по центру экрана. (рестарт стирания)
Используя вышеуказанные способы имеется возможность заработать монет на полный набор скидок и несколько купонов для мобильного приложения. Только до 25 марта. Удачи!
Внимание. Все действия из статьи вы можете воспроизвести, но только на свой страх и риск.
Какие игры нам предлагают и в чём их уязвимости?
Discount Defender
Первая игра, которая была доступна пользователям, хотя и с некоторыми оговорками:
- В русской локализации названии игры разнится «Турнир за монеты»/«Дозор скидок»
- После «старта» приложение было недоступно пользователям несколько дней, хотя и была предоставлена "компенсация"
- В день даётся только три попытки через веб версию и три попытки через мобильное приложение
Как и все остальные игры Discount Defender сделан на JS. Хоть это и в тренде, но пользователи слабых устройств испытывают проблемы с производительностью. Помните про «три попытки через мобильное приложение»? Мобильное приложение это несколько кастомизированое WebView с мобильной версией сайта поэтому, мобильная версия игры так же реализована на JS. В компьютерной версии вы должны курсором мыши разрезать шары, в мобильной версии ваш «курсор» оставляет шлейф, который так же является активной зоной. Только, если антибонусы об шлейф активируются всегда, то бонусы через раз. Не смотря на то, что моё устройство далеко не бюджетное сама игра нередко зависает, а сам шлейф отрисовывается с немалой задержкой. Но как же получить нечестные очки через это приложение? Количество очков передаётся на сервер в открытом виде.
Способ взлома
- Перехватываем запрос с помощью Charles или любой другой подобной программы.
- Подменяем переменную score в запросе.
Способы защиты
- Кодирование score и не передавать его в открытом виде
- Использовать проверку на максимальное возможное количество очков за раунд
Clash for Coins
- Название игры на русском «Дозор скидок» (Ничего не напоминает?)
- Стоимость раунда 50 монет
- В случае победы вы получаете 100 монет
- Кривой перевод, который гласит, что вы теряете 50 монет в случае проигрыша
Игра примитивнейший файтинг: нажимаешь на левую кнопку мыши/пробел и твой персонаж бьёт быстрее. Кажется, что может быть проще в хакинге? Примитивнейший автокликер с частотой в 1м/c должен легко побеждать компьютерного противника… Но на самом деле «честная» игра идёт лишь до нного количества монет у вас (для меня это 2000) или двух побед подряд, как бы быстро вы ни кликали, вы будете проигрывать. Сценарии игры заскриптованы и раунд всегда заканчивается с одинаковым количеством здоровья для вас или компьютерного противника.
Что могли сделать китайцы?
- Ввести хоть немного случайности для количества оставшегося здоровья, чтобы игра выглядела более правдоподобно
- Ввести уровни сложности и изменение награды в зависимости от него
Способ взлома
- Автокликер + макрос с ручным контролем по достижению N очков
Способ защиты
- Проверка на минимальную скорость кликов, чтобы исключить автокликеры
Fortune Monster
- В русской локализации название игры «Колесо Фортуны»
- Стоимость раунда 10 монет, даётся 3 попытки на нескольких разных страницах
Простая рулетка: 12 возможных вариантов из которых 1 проигрышный (5 очков), 1 нейтральный (10 очков), 10 выигрышных (от 15 до 800 очков).
Главной проблемой игры можно назвать её длительность. Примерно минуту вы ждёте, чтобы узнать результат раунда.
Способ взлома
- Используем Charles для перехвата запроса.
- Подменяем переменную score в запросе на возможное количество очков
Способы защиты
- Кодирование score и не передавать его в открытом виде
Shake
- В русской локализации название игры «Потрясные монеты „
- Не более 500 встряхиваний в день
Второе после “Discount Defender» мобильное приложение. Суть проста: встряхиваешь телефон и получаешь 1, 2, 5, 15, 50 или 0 монет. Сначала я думал, что можно хакать монеты с помощью просто контроллера и сервопривада, встряхивая телефон, но это опасно и неудобно. Поэтому, на помощь вновь приходит перехват запросов.
Способ взлома
- Используем ProxyDroid для перенаправления запросов на компьютер в локальной сети.
- На компьютере перехватываем запрос с помощью Charles или любой другой подобной программы.
- Повторяем запрос 1000 раз.
Подробная инструкция в паблике VK
Способы защиты
- Сделать защиту от «скоростных» встряхиваний
- Присваивать каждому встряхиваю уникальный идентификатор
- Добавить кнопку, чтобы перезапускать встряхивание
Scrath & Save
- Не более 500 стираний в день
- Приз — купоны на 1$ / 3$ / 100$ (использование только из мобильного приложения)
Третье мобильной приложение. Вы стираете «защитный слой» и обнаруживаете под ним кнопку «тереть снова» и информацию о выигрыше. Что интересно, приложение работает и без интернета.
Способ взлома
Кажется, что можно использовать уже проверенный способ с перехватом запросов? Как ни странно, этот способ не работает, но не стоит унывать! С помощью программы Android Bot Maker вы можете создать макросы для устройства. Нам понадобятся два свайпа и клик по центру экрана. (рестарт стирания)
Способы защиты
- Перемещать кнопку рестарта
- Проверять скорость свайпа
Используя вышеуказанные способы имеется возможность заработать монет на полный набор скидок и несколько купонов для мобильного приложения. Только до 25 марта. Удачи!
Внимание. Все действия из статьи вы можете воспроизвести, но только на свой страх и риск.