Реверс инженеринг протокола appstore

Встречайте – In-AppStore.com – плод моих трудов с 4 по 12 июля. Реверс инженеринг протокола appstore пришел к успеху. Что меня сподвигло на такой шаг? Во-первых, просто грабительское приложение CSR Racing. Деньги просят отовсюду, играть невозможно. Ну не наглость ли? Вот так-вот.

Очень порадовал и сам AppStore. Покупка приложения – это вам не хухры-мухры. Как минимум 5 запросов, а с валидацией и все 7. И еще, у apple просто свалка из всех возможных технологий XML (aka PLIST) via gzip. XML-PLIST просто как plain. JSON под gzip, NSDictionary под gzip и в base64. JSON в base64. Ужас! Это еще не все! Часть appstore управляется чисто POST/GET заголовками, часть работает через HTTPS. Часть через HTTP. Вот скажем получить список покупок – http. Купить что-то https. Проверить покупку, при том получив ту же информацию за исключением подписи – уже http! Такие дела.

Еще интересно то, что срали они на стандарты построения POST запросов. application/x-www-form-urlencoded у них в некоторых запросах тупо идет PLIST-ом. Никакого urlencode, никакого построения ссылок, что вы? Не, не слышали. Так и отправляются POST-ом целые XML-документы без компрессии.
А как зашифрован чек? Встречайте JSON->base64->NSDictionary->base64->NSDictionary. Вот такие дела.
А вы знали, как дох… много запросов делают ваши любимые игрушки и приложения? Ужаснах, есть куча неизвестных серверов статистики, где логгится, когда вы открыли приложение, сколько в нем провели, сколько тапнули по экрану. Большой брат следит за вами!

И еще раз – In-AppStore.com

(C) ZonD80

32 thoughts on “Реверс инженеринг протокола appstore

  1. Anonymous

    я так понимаю, что акк пользователя придет на твой сервак успешно там запишется и заюзается для обнала через свое приложение? )))

    Reply
  2. Владислав Глазунов

    По поводу игры CSR Racing все решаеься переводом времени в телефоне) перевел на час оп и бензин добавили перевел на месяц оп монетку дали и так далее)

    Reply
  3. Anonymous

    А почему по ссылкам перейти не получаеться?

    Reply
  4. Anonymous

    Hey I how are you I know you must be busy but if you have a chance please email me I would like to talk to you thanx [email protected] I was trying to use a translator but it seems I can’t past so I’ll leave it as is thanx for your time hope you read this comment

    Reply
  5. Anonymous

    Скажите полиз, а после нажатия like, должен спрашивать пароль стора?

    Reply
    1. Anonymous

      Всё выполнил по инструкции, а в Samurai vs Zombies defence пишет ошибку

      Reply
  6. Anonymous

    ZonD eighty, я сделал все по инструкции, но ни в одном приложении не работает! Если есть разница, то у меня iPad 3.

    Reply
  7. Bullterrier

    ZonG спасибо за труды, дай пожалуйста новую ссылку на программу и инструкции к ней – старую то удалили… Если можно / на мыло: [email protected] gmail.com
    Спасибо

    Reply
  8. Сорока Андрей

    все приложения от gameloft защищены (DH, DH2, DH3, RF 12…)
    с остальными приложениями проблем не возникло

    Особенно порадовали проигрыватели видео (например HD Player)
    ведь в них бесплатно нельзя смотреть все форматы видео, ZonD Eighty спасибо!

    Хотя после токо как во всех играх (которые поддались хаку) сделал деньги, играть как-то перехотелось 😀

    apple ведь не как не сможет узнать, что было куплено реально, а что с помощью хака?

    Reply
  9. Anonymous

    А где инструкция ребят?? На сайте in-appstore.com вообще ничего не понятно… Давайте ссылку пожалуйста на саму инструкцию)

    Reply
  10. Anonymous

    пробовал не прокатило вылазит ошибка. Hi dude! you ARE NOT CONNECTED TO IN-APPSTORE.COM but….

    Reply
    1. Anonymous

      читал через переводчик потомучто неволоку в инглише 🙂

      Reply
  11. Anonymous

    а у меня пишет транзакция прошла успешно но произошла неизвестная ошибка при проверке

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *