Гра в Android продовжує хакнути [закрито]

Тож ми вже кілька разів переживали це, ми випускаємо гру (для дешевих), і хтось її зламає і ставить на дзеркало. Ми налаштовуємо Google Alerts для всіх наших додатків, тому нам щодня повідомляють, хто робить злом. Поки ми впровадили сервіс ліцензування, як запропонував Google, наша сіль робиться випадковим чином щоразу, коли ліцензія починається з унікального ідентифікатора пристрою. Ми запускаємо службу перевірки один раз, коли програма запущена вперше. Потім ми генеруємо хеш 512 символів для ключа і збереженого значення, яке порівнюється з SharedPreferences звідти.

Тепер я знаю, що перевірка одного разу, ймовірно, там, де програма заблокована. Наш байт-код, швидше за все, був розглянений і перекомпільований без рядка, який ініціює перевірку.

Звідси я не хочу придушувати наш код, як я бачив його порушеним раніше. Я хочу чогось більш твердого, і я також хочу навчитися це правильно робити. Мені більше цікаво вчитися, ніж заробляти гроші на цьому етапі, оскільки лише 2% людей коли-небудь шукатиму зламану версію.

Поки що я самостійно придумав генератор випадкових чисел, який розміщується в декількох областях запуску гри. При ініціації (скажімо, 1 з 50 разів) перевіряється ліцензія. Я знаю, що це ускладнить злому, оскільки зловмисник повинен буде усунути кожен випадок, скласти, усунути, скласти. Однак цей метод все ще є складним ... так що ви, хлопці, пропонуєте? Знову ж таки, я дуже зацікавлений у цьому процесі безпеки, тому, будь ласка, навчайтеся, не перетворюйте це на дискусію про затуплення або періодичну перевірку на основі часової позначки.

Дякую

Моя ідея не є хакерським доказом, але може зняти частину інтересу до злому гри.

Модель Freemium

1) Зробіть перші 5-10 рівнів безкоштовними, щоб люди могли вивчити гру та повеселитися, не платячи. Менше захочеться зламати перший рівень, і гра ще більше пошириться за моделлю Freemium.

Shareware / кластеризовані рівні

2) Нехай частина рівнів гри або логіка залишається в Інтернеті. Напр. коли ви досягаєте рівня 5 або 10 або 15, тоді завантажуйте невеликі частини для гри, і кожен раз надсилайте журнал прогресу з гри та підтверджуйте це щодо можливих значень + хеш-кодів. Можливо, це може зробити можливим автоматичне закриття зламаних облікових записів.

Захист шахрайського захисту

3) Ви також можете просто порахувати "маленькі попереджувальні прапори", які ви розміщуєте в грі. Не перевіряйте на "перевірку" на початку, не вбудовуйте ці прапори в саму логіку гри. Не змушуйте його порушувати геймплей, бо тоді його ніхто не буде шукати. Потім, коли користувач дійшов до кінця монстра рівня, перевірте, чи не було зареєстрованих попереджуваних прапорів. Вони не відображатимуться у грі, тому невідомий користувач із зламаним виданням може грати годинами / днями і раптом зрозуміти, що він / вона не може закінчити гру або перейти на наступний рівень, тому що в грі був "помилка". Користувач не знав, що ця помилка виникає лише на злому клієнтах.

Висновок

Будь розумнішим від сухарів. Обдурити їх, думаючи, що робота виконана. Зробіть захист від копіювання і знайте, що більш досконалі сухарі зможуть її видалити. Але вони, ймовірно, не хочуть грати 50 рівнів, щоб перевірити, чи тріщина також працює до кінця.

Як тільки вони зрозуміють цю проблему, вони також можуть почати її ламати. Але якщо розбити гру на рівні пакети, ви все одно можете перевірити між кожним завантаженням пакета. Отож, як тільки ви отримаєте злому даних хеш-клієнта, тоді просто виконайте exeception і розбийте гру на клієнті. Уопс гра розбився. Не кажіть, тому що його зламали. Помилка програми може статися. :-)

Знову ж таки, це не хакерське підтвердження. Але це може їх дратувати досить, щоб перейти до наступної гри. Нарешті, ви також можете випускати регулярні оновлення для гри, і лише остання версія повинна мати можливість "розміщувати записи" тощо, щоб активні користувачі повинні були оновлюватись, щоб зберігати в циклі.

Я деякий час займався декомпілюванням і хакерством apk (не warez, а моди та хаки, в основному, для додатків google та андроїд фреймворку, завжди дотримуючись політики xda-розробників).

Після того, як ви навчитеся читати смалі, це майже як читання оригінального коду Java (але з набагато більшою мірою LOC). Отже, будь-який код, який ви додали, щоб перевірити наявність ключів, можна знайти та видалити або замінити. Вам навіть не потрібно перекомпілювати щоразу, щоб усунути більше одного (деякі пошуки роблять чудеса, щоб знайти подібні фрагменти коду), і навіть якщо для їх пошуку потрібні цикли компіляції / перекомпіляції, це лише питання однієї чи двох хвилин декомпілювати: все автоматизовано apktool і навіть більше apkmanager.

Сказавши це, я пропоную вам реалізувати якусь таблицю підрахунків в Інтернеті чи подібну, і коли користувач перегляне таблицю результатів в Інтернеті, ви можете перевірити хеш-код, який ви застосували, і порівняти його з пов’язаним обліковим записом gmail. Таким чином ви можете повідомити про хак в Google і надіслати неприємне повідомлення користувачеві warez, пояснивши, чому це незаконно.

Звичайно, можна було б застосувати новий хак, щоб ліквідувати таблицю балів, але це знизило б інтерес до виробу.

Удачі.

Оновлення

Після дослідження відповіді на це запитання: Впорскування коду в APK (справді про механізм DRM Amazon), я можу трохи розповісти про те, як Amazon захищає додатки: він включає методи перевірки дійсності установки скрізь (ви можете побачити приклад як вони це роблять у моїй відповіді на це питання). Це зробить будь-яку спробу зламати додаток не дуже складно, але надзвичайно виснажливо. Я вважаю, що це є важливим моментом: хакери не захочуть витрачати стільки часу, роблячи так багато повторюваних завдань: це не складно і це нудно. Основний недолік, який я бачу в такому підході, - це можливість зламати додаток Amazon, щоб завжди повертати дійсну відповідь. Але, якщо ви змішите свої поточні хеш-чеки з якоюсь онлайн-чек, розкиданою серед ваших методів, я вважаю, що шанси на її злом можуть різко зменшитися.

Взяте з мого рішення з цієї публікації. Уникайте, щоб APK не тріснув

Реалізуйте власну бібліотеку ліцензування

Я також попросив вас перевірити це з запису YouTube на YouTube I / O 2011:

Ухиляючись від піратів і зупиняючи вампірів

Редагувати:

Презентаційні записки від ухилення піратів і зупинки вампірів

Деякі основні ключові моменти

• Змініть LVL
• Запропонуйте LVL-опір на захист
• Використовуйте обфускування
• Додайте роздуми

Я знаю, що ти насправді не заплутався, але мені реально потрібно реагувати на це:

Звідси я не хочу придушувати наш код, як я бачив його порушеним раніше. Я хочу чогось більш твердого, і я також хочу навчитися це правильно робити.

ProGuard є дуже надійним на моєму досвіді, і це, хоча я використовую декілька розширених функцій, таких як AIDL та деякий власний код, який викликає метод Java. Потрібно трохи попрацювати, щоб прочитати документацію та зробити все належним чином, але як тільки ви там ProGuard надзвичайно надійний, а також оптимізує ваш додаток.

Користувальницькі прийоми безпеки / криптографії - це добре, але без обдумування це моє скромне переконання, як кинути камінь у воду.

Я використовував ProGuard у виробництві багато місяців, і він просто працює бездоганно.

Якщо ви навчаєтесь, то уважно прочитайте посібник ProGuard, експериментуйте з ним та огляньте його вихідні журнали.

Шанс, що є більше талановитих програмістів, ніж ВАС (стосується всіх програмістів), становить 100%. І якщо це правда, ви не можете виправити злому. Але ви можете витратити на це стільки часу і сил, щоб збанкрутувати.

Якщо ви хочете заробити кілька серйозних грошей, вам потрібно зробити кілька досліджень на цільовій групі користувачів та науку про поведінку. Вам потрібно змусити користувачів грати, що приносять нові гроші, і це все.

Крім того, ви все помилилися. Хакери - найактивніші члени вашої користувацької бази, вони просто поводяться так, як ви цього не мали наміру.

Наприклад, візьміть ігри Zynga у Facebook, чи вважаєте ви, що вас зламають? - Впевнений, і близько 100000 гравців грають лише тому, що ти можеш використовувати ботів, які автоматизують все.

Маючи величезну активну базу користувачів користувачів реальних людей, змушує геймерів типу архіватора захотіти пограти в гру - і якщо ваша гра, і це виглядає круто, то Avarage Joe теж захоче пограти. Якщо Avarage Joe грає, то його друзі, можливо, захочуть пограти, і тобі, мабуть, не буде байдуже нічого іншого, тоді буде краще, ніж його / її друг, вбиваючи час або мати про що поговорити. Друзі Avarage Joe, швидше за все, будуть готові платити, щоб бути кращим, ніж Джо, але, скоріше, твій хотів би вкласти гроші в те, що робить їх здатними бути кращими.

Крім того, якщо справжня цінність грає безкоштовно, то користувачі, які використовують безкоштовну злому версію, швидше за все, ніколи б не заплатили за неї. Але твої - це Авараж Джос та їхні друзі. Тож це як найдешевша реклама, яку ти можеш мати. Якщо ви хочете заробити на великій базі користувачів, тоді просто робіть нові версії гри з невеликими змінами рівнів та графіки.

Піратство завжди буде проблемою. За великим рахунком кракери краще грати в цю гру Security Though Obscurity, ніж розробники.

Яке цікаве та тривожне питання. :-) Як вправу, ви можете спробувати випустити додаток через Amazon; у них є власний механізм DRM; Цікаво, чи працює він краще, ніж ProGuard ...

Один з ключових елементів, на мою думку, - це розповсюдження коду, щоб не все було в одному місці. Якщо у вас є функція під назвою LicenseChecker.checkLicense (), яка отримує ліцензію та перевіряє її, ви можете бути впевнені, що вона буде негайно відключена.

Єдиною вашою перевагою є те, що сухарики не можуть бачити коментарі вашого коду (і, якщо ви заплутаєте, назви методу / змінних), тож придумайте щось дивне. У onCreate () однієї діяльності ви отримуєте ідентифікатор ліцензії. У onResume () ви отримуєте ще одне значення, щоб перевірити його. Можливо, створіть нитку і зробіть там кілька перевірок. І тоді якийсь інший невідповідний фрагмент коду (можливо, керування програвачем) може забрати значення та порівняти його та десь зберегти результат. Тоді ще три невідповідні частини коду незалежно перевірять це значення та відключать вашу програму, якщо вона не відповідає.

Тепер я повинен сказати наперед, що це може викликати головний біль для себе - очевидно, захаращений, неприємний код важче налагодити і схильний викликати помилки. Найгірше, ви створюєте помилкові позитиви в законно придбаних програмах.

І, звичайно, все може бути реверсивним - як тільки сухарі знаходять місце, де додаток вимкнено, вони відстежують значення, з якого читають. Потім вони зможуть простежити назад, де він зберігається, і відстежувати його назад ..... або, що набагато простіше, вони можуть просто відключити остаточну перевірку (саме тому я рекомендував 3 різних місця, і все запуск затримується). Безпека настільки ж хороша, як і найслабша ланка.

Ви не зможете припинити піратство. Ваша найкраща ставка - затримати розповсюдження піратської копії до тих пір, поки початковий галас щодо вашої програми не заспокоїться.

По-перше, я НЕ вважаю себе професіоналом у сфері безпеки SW, але:

Я думаю, що важливо - дозволити додатку залежати в якійсь частині від перевірки підпису. Не дозволяйте це впливати негайно, але дозвольте йому встановити деякі прапори або змінити деякі значення. пізніше скористайтеся цими прапорами, перевірте їх, нехай їх відсутність / некоректність спричинить виняток якогось виду, який, можливо, припинить роботу програми. Поки перевірка підпису є актуальною лише на даний момент, її легко обійти, видалити рядок, як тільки вона торкнеться більше областей у коді, вашому додатку стає важче (або менш легше ...) зламати. Крім того, як я бачу, не всі перевірки повинні вимагати однакового розпорядку санкції, оскільки це також спростить пошук механізму захисту та його скасування.

Звичайно, санкція, застосована у випадках незаконного ПЗ, може бути різною, ви, можливо, захочете зламати додаток при незаконному використанні, але ви також можете продовжувати його працювати та надсилати лише повідомлення, яке просить користувача придбати легальну копію заявки.

Якщо це саме те, що ви не хотіли чути, то вибачте за ваш час :)

Користувачі Android просто приймуть біль від постійних телефонних будинків. Єдиний захищений додаток для Android - це завжди підключений додаток для Android.

Це значною мірою пов’язано з відмовою Google відблокувати встановлення, як це має Apple. У IOS вам доведеться втекти з телефону. На Android ви можете завантажити будь-який APK на складі, встановити фабрику.

Зберігайте частину / більшість / увесь свій вміст на сервері; доставити його шматками; підтвердити ліцензію / сеанс під час кожного дзвінка.

Буде неймовірно важко гальмувати подібну поведінку. Все, що обробляється на стороні клієнта, руйнується за допомогою декомпіляції та моделювання APK, редагування пам'яті за допомогою програмного забезпечення, такого як Game Guardian ect.

Єдиний спосіб я бачу, як частково обійти його, - це зробити натомість онлайн-гру. Або певні функції обробляються в Інтернеті. Або якщо для Android / iOS доступне шифрування, яке захищається від несанкціонованого захисту, як denuvo.