アカウント名:
パスワード:
Kinoppyのサーバー側に支払いを行ったとの虚偽の情報を送信することで認証を成功させるという手法
この部分の具体的な手法が気になります。課金チェックをすり抜けて直接ダウンロードできた、ということなのか、架空の課金データを入力されて課金済の状態になっていたのか?
もし画期的な手法なんだとすれば、セキュリティ対策考えておかないと。
毎日新聞にもうちょっと詳しい情報があります。http://mainichi.jp/select/news/20130604k0000e040185000c.html [mainichi.jp]
---不正取得に使われていたのは海外で作成されたアップル社のiOS端末向けの不正アプリ「IAP Free」や「IAP Cracker」など。インターネットの掲示板サイトでは昨夏、「キノッピーで普通に使える」「請求のないクレカ(クレジットカード)を持ったも同然」などの書き込みが相次いでいた。---
InApplicationPurchaseをクラックしたみたいですね。アプリケーション内部でIAP判定をしていたら今回のようになるのかな?(販売サーバ側でやれば問題無いと思いますが)つか、アプリ内部で判断出来る設計はひどすぎないか?
どっちにしろ、不正アプリを使って購入した人が、本を読もうとすれば紀伊国屋IDを使ってアクセスせざるを得ないわけで。そのIDでの実際のクレカ決済データを照会すれば全てバレるわけです。(だからチェックが甘くていいってことでもないですが)書き込みをみてノリノリで使った人全員がこれからお縄になる可能性もあります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
具体的な手法が気になります (スコア:0)
この部分の具体的な手法が気になります。
課金チェックをすり抜けて直接ダウンロードできた、ということなのか、
架空の課金データを入力されて課金済の状態になっていたのか?
もし画期的な手法なんだとすれば、セキュリティ対策考えておかないと。
Re:具体的な手法が気になります (スコア:3, 参考になる)
毎日新聞にもうちょっと詳しい情報があります。
http://mainichi.jp/select/news/20130604k0000e040185000c.html [mainichi.jp]
---
不正取得に使われていたのは海外で作成されたアップル社のiOS端末向けの不正アプリ「IAP Free」や「IAP Cracker」など。インターネットの掲示板サイトでは昨夏、「キノッピーで普通に使える」「請求のないクレカ(クレジットカード)を持ったも同然」などの書き込みが相次いでいた。
---
InApplicationPurchaseをクラックしたみたいですね。
アプリケーション内部でIAP判定をしていたら今回のようになるのかな?
(販売サーバ側でやれば問題無いと思いますが)
つか、アプリ内部で判断出来る設計はひどすぎないか?
Re: (スコア:0)
どっちにしろ、不正アプリを使って購入した人が、
本を読もうとすれば紀伊国屋IDを使ってアクセスせざるを得ないわけで。
そのIDでの実際のクレカ決済データを照会すれば全てバレるわけです。
(だからチェックが甘くていいってことでもないですが)
書き込みをみてノリノリで使った人全員がこれからお縄になる可能性もあります。