我们在iOS应用商店中有一个成功的应用程序,提供应用内购买 . 每次购买完成后,我们都会将收据发送到我们的服务器,我们的服务器,而不是使用Apple的服务器检查收据,并记录苹果的回复(包括购买是否有效以及他们是否在同一时间和日期来自我们的应用) .
我们有相当多的用户使用iap裂缝向我们发送苹果认为无效的收据 . 然而,我们现在开始看到那些有苹果回复有 Value 收据的作弊者 . 这些骗子有什么奇怪的,当这样的骗子用户在我们的应用程序中购买时,他通常会使用完全相同的收据购买所有购买 .
您是否听说过这种'傻瓜'苹果收据验证的方法?(生成收据,苹果会在'购买'时说它们来自我们的应用程序)
我们可以做些什么来在第一次购买时找到那些骗子(对于下次购买我们只需检查下一次收据的时间或确保我们的收据是唯一的)
谢谢!
2 回答
实际上,如果这是我最近作为概念证明讨论过的同一个黑客,那么第一次购买是合法的 . “创新”是解码合法收据并将其IAP ID重新标记为不同的收据,而整体收据仍然有效 . 所以简单地避免重复就足够了 . 没想到一个人已经接近 生产环境 准备就绪,所以这可能会有所不同 .
我们在开发iOS应用程序商店游戏时也面临类似问题,其中商业模式仅基于In App Purchase .
最初我们曾经使用Apple Servers直接检查设备上的收据 . 但是一些黑客已经为用户创建了一个黑客,他们可以在他们的设备上安装DNS服务器证书,这会欺骗Apple的响应 .
这样做的方法是让Web服务器直接通过某种哈希或md5检查来检查来自Apple的收据,以确保来自Apple的响应 .
这是一个链接,其中有详细信息https://www.objc.io/issues/17-security/receipt-validation/
希望这可以帮助 .