有効な領収書があると思われるIAPクラック

Question

iOSアプリストアでアプリ内購入で成功したアプリがあります。購入が完了するたびに、私たちのサーバであるサーバーにレシートを送り、アップルのサーバーで領収書をチェックし、リンゴの応答を記録します（購入が有効かどうか、同じ日時にアプリから来たものなど）。

リンゴが無効であるという領収書を送信するiapクラックを使用しているユーザーがかなりいます。しかし、私たちは今、リンゴの回答が有効であることを確認した詐欺師を見始めました。このようなチーターユーザーがアプリで購入するとき、彼は通常、同じ領収書ですべての購入を購入するという、これらのチートでは奇妙なことは何か。

は、あなたが「バカ」リンゴの領収書の検証に、このような方法を聞いたことがありますか？（Appleは、彼らが「購入」の時に我々のアプリからあると言うだろう領収書を生成する）

は、私たちができるものがあります最初の購入でそのチーターを見つける（次の購入のために、次の領収書の時間を確認するか、領収書が一意であることを確認することができます）

ありがとう！

Answer 1

これは私が最近、概念実証として議論を見てきました同じハックであれば、最初の購入は、我々は彼らの第一の購入実は

でこれらの不正行為を見つけるために何ができるものがあります正当な「イノベーション」は、正当な領収書をデコードし、IAP IDを別のものに変更することですが、レシート全体が有効と見なされます。重複を避けるだけで十分です。誰もがプロダクションの準備ができているとは思わなかったので、これは違うかもしれません。

Answer 2

ビジネスモデルがIn App Purchaseのみに基づいていたiOSアプリストアのゲームを開発する際にも同様の問題が発生しました。

当初は、Appleサーバーでデバイスからの領収書を直接確認していましたが、しかし、ハッカーの中には、アップルからの応答を偽装するDNSサーバ証明書をデバイスにインストールできるユーザーのためのハッキングがあります。

これを行う方法は、アップルからの返信を確認するために、何らかのハッシュまたはmd5チェックを使用して直接Webサーバーが領収書をチェックするようにすることです。ここ

このhttps://www.objc.io/issues/17-security/receipt-validation/

に関する詳細な情報を持っているリンクは、この情報がお役に立てば幸いです。