アカウント名:
パスワード:
Kinoppyのサーバー側に支払いを行ったとの虚偽の情報を送信することで認証を成功させるという手法
この部分の具体的な手法が気になります。課金チェックをすり抜けて直接ダウンロードできた、ということなのか、架空の課金データを入力されて課金済の状態になっていたのか?
もし画期的な手法なんだとすれば、セキュリティ対策考えておかないと。
もしかしたら課金成功時のパケットが決まっていたとかだとしたら致命的ですがどうなんだろうね。こういうのは認証機関経由でやったりするもんなので、認証機関側とkinoppi側のデータの保持構造とかにも問題ありそうな気がしないでもない。
AppleStore を通して(ゲーム内通貨などを)購入をした場合、レシートと呼ばれるデータが送られてきます。このレシートデータを Apple が用意してある API を使って確認すると、そのレシートが正しいかどうかの確認が出来ます。Apple 推奨の方法ではサーバでこのデータを確認して処理するように推奨しています。(この方法であれば今回のような不正ダウンロードはほぼ不可能)
で、世の中にはこのレシートデータを模倣して(ゲーム内通貨等を)購入してしまおうとするツールも存在します。iOS 版は Kinoppy はどのような処理をしていたのかわからないので正解はわかりませんが、今回のツールはこの例かなぁ、という気がします。
そもそも AppleStore 経由の決済じゃなければ今回の例は全くの的外れですが(^^ゞ
日経>紀伊国屋書店はセキュリティーを強化しており、現在は不正アプリを使った決済はできなくなっているという。
なんかサーバ間確認せずに、アプリから送られてきたレシートを無条件(?)信用してたっぽい気がする。
想像でしか無いけど、最初にアカウントの書棚情報を読み込んだあと、書籍をダウンロードするわけだけど、この時点で再度書籍単位の購入情報を確認せずダウンロードしてたとしたら、書棚情報を偽装できれば、買ってない本をダウンロードできる。
毎日新聞にもうちょっと詳しい情報があります。http://mainichi.jp/select/news/20130604k0000e040185000c.html [mainichi.jp]
---不正取得に使われていたのは海外で作成されたアップル社のiOS端末向けの不正アプリ「IAP Free」や「IAP Cracker」など。インターネットの掲示板サイトでは昨夏、「キノッピーで普通に使える」「請求のないクレカ(クレジットカード)を持ったも同然」などの書き込みが相次いでいた。---
InApplicationPurchaseをクラックしたみたいですね。アプリケーション内部でIAP判定をしていたら今回のようになるのかな?(販売サーバ側でやれば問題無いと思いますが)つか、アプリ内部で判断出来る設計はひどすぎないか?
どっちにしろ、不正アプリを使って購入した人が、本を読もうとすれば紀伊国屋IDを使ってアクセスせざるを得ないわけで。そのIDでの実際のクレカ決済データを照会すれば全てバレるわけです。(だからチェックが甘くていいってことでもないですが)書き込みをみてノリノリで使った人全員がこれからお縄になる可能性もあります。
なんか私も勘違いしてたようです。> 不正アプリ「iAP Cracker」は、オンラインショッピングで、実際には決済していないのに課金の手続きが終了したかのように店側のサーバーを誤信させる機能がある。
iOSアプリのkinoppiには決済機能がないからアレ?と思ってたのですが、これはiOSアプリというだけで中身はサーバにニセ決済ずみ情報を送るツールと。決済ずみになったから、普通にダウンロードして本を入手できた(出来る状態になった)というわけ。だから特別なことはなく普通に決済機能のセキュリティをしてればいいわけですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
具体的な手法が気になります (スコア:0)
この部分の具体的な手法が気になります。
課金チェックをすり抜けて直接ダウンロードできた、ということなのか、
架空の課金データを入力されて課金済の状態になっていたのか?
もし画期的な手法なんだとすれば、セキュリティ対策考えておかないと。
Re:具体的な手法が気になります (スコア:3)
もしかしたら課金成功時のパケットが決まっていたとかだとしたら致命的ですがどうなんだろうね。
こういうのは認証機関経由でやったりするもんなので、認証機関側とkinoppi側のデータの保持構造とかにも問題ありそうな気がしないでもない。
Re:具体的な手法が気になります (スコア:5, 参考になる)
AppleStore を通して(ゲーム内通貨などを)購入をした場合、レシートと呼ばれるデータが送られてきます。
このレシートデータを Apple が用意してある API を使って確認すると、そのレシートが正しいかどうかの確認が出来ます。
Apple 推奨の方法ではサーバでこのデータを確認して処理するように推奨しています。
(この方法であれば今回のような不正ダウンロードはほぼ不可能)
で、世の中にはこのレシートデータを模倣して(ゲーム内通貨等を)購入してしまおうとするツールも存在します。
iOS 版は Kinoppy はどのような処理をしていたのかわからないので正解はわかりませんが、今回のツールはこの例かなぁ、という気がします。
そもそも AppleStore 経由の決済じゃなければ今回の例は全くの的外れですが(^^ゞ
Re: (スコア:0)
日経
>紀伊国屋書店はセキュリティーを強化しており、現在は不正アプリを使った決済はできなくなっているという。
なんかサーバ間確認せずに、アプリから送られてきたレシートを無条件(?)信用してたっぽい気がする。
Re: (スコア:0)
想像でしか無いけど、
最初にアカウントの書棚情報を読み込んだあと、書籍をダウンロードするわけだけど、
この時点で再度書籍単位の購入情報を確認せずダウンロードしてたとしたら、書棚情報を偽装できれば、買ってない本をダウンロードできる。
Re:具体的な手法が気になります (スコア:3, 参考になる)
毎日新聞にもうちょっと詳しい情報があります。
http://mainichi.jp/select/news/20130604k0000e040185000c.html [mainichi.jp]
---
不正取得に使われていたのは海外で作成されたアップル社のiOS端末向けの不正アプリ「IAP Free」や「IAP Cracker」など。インターネットの掲示板サイトでは昨夏、「キノッピーで普通に使える」「請求のないクレカ(クレジットカード)を持ったも同然」などの書き込みが相次いでいた。
---
InApplicationPurchaseをクラックしたみたいですね。
アプリケーション内部でIAP判定をしていたら今回のようになるのかな?
(販売サーバ側でやれば問題無いと思いますが)
つか、アプリ内部で判断出来る設計はひどすぎないか?
Re: (スコア:0)
どっちにしろ、不正アプリを使って購入した人が、
本を読もうとすれば紀伊国屋IDを使ってアクセスせざるを得ないわけで。
そのIDでの実際のクレカ決済データを照会すれば全てバレるわけです。
(だからチェックが甘くていいってことでもないですが)
書き込みをみてノリノリで使った人全員がこれからお縄になる可能性もあります。
Re:具体的な手法が気になります (スコア:1)
なんか私も勘違いしてたようです。
> 不正アプリ「iAP Cracker」は、オンラインショッピングで、実際には決済していないのに課金の手続きが終了したかのように店側のサーバーを誤信させる機能がある。
iOSアプリのkinoppiには決済機能がないからアレ?と思ってたのですが、
これはiOSアプリというだけで中身はサーバにニセ決済ずみ情報を送るツールと。
決済ずみになったから、普通にダウンロードして本を入手できた(出来る状態になった)というわけ。
だから特別なことはなく普通に決済機能のセキュリティをしてればいいわけですね。