Schummeln und sichere iOS-Spiele entwickeln

Wahrscheinlich haben Sie eines der Millionen Spiele auf Ihrem iPad oder iPhone, in denen Sie Erfolge erzielen und Specials freischalten können. Wenn Sie Spiele für Spieler entwickeln, die gerne mit echtem Geld spielen, haben Sie sich wahrscheinlich schon einmal Gedanken darüber gemacht, dass Leute Ihre Spiele betrügen? In diesem Blog zeigen wir Ihnen, wie Sie den Betrug selbst ausprobieren können und wie Sie sichere iOS-Spiele entwickeln.Die eigentliche Frage, um die es geht: Wie kann man die Integrität einer App auf iOS brechen?

Betrug beeinflusst den Staat

Viele Spiele im iOS App Store haben absolut keinen Schutz vor Betrug. Entweder, weil die Entwickler nicht einmal in Erwägung ziehen, Sicherheit zu implementieren, oder weil sie denken, dass dies sehr schwierig oder teuer ist. In diesem Beitrag werden wir uns einige Spiele ansehen, die lokale Zustände verwenden , wie zum Beispiel eine Datenbank oder plists (oder andere Formate) auf Ihr Gerät. Diese Art von Spielen kann man austricksen, indem man einige lokale Dateien öffnet und die Werte nach eigenem Gutdünken verändert.

Beeinflussung die lokalen Staat

Für dieses Beispiel verwenden wir ein zufälliges Spiel, das wir im Appstore gefunden haben. Dieses Spiel sendet keine spielbezogenen Daten an den Server und speichert daher wahrscheinlich alles lokal. Wir verwenden ein jailbroken Gerät, um auf das Dateisystem des Geräts zugreifen zu können. Dabei zeigt sich, dass das Spiel eine Datenbankdatei im Dokumentenordner der Anwendung speichert. Wenn wir diese mit einem SQLite DB Browser öffnen, können wir die Datenbank lesen und ändern. In diesem Fall enthält die SQLite-Datenbank zwei interessante Schlüssel namens und . Wir bearbeiten diese Dateien mit SQLite und laden die Datenbank erneut auf das Gerät hoch.

Wir starten neu. das Spiel und wir haben 15000 Sterne und 5000 Münzen!

Absicherung Ihres iOS-Spiels als Entwickler

Der beste Weg zu verhindern lokal Staat Manipulation ist, Sie erraten es: Server-Seite Validierung. Wenn Sie nicht mit Servern arbeiten möchten, können Sie Ihre Daten natürlich auch verschlüsseln (verstecken) und dann mit HMAC verifizieren (Integrität prüfen). Vergessen Sie nicht, die Schlüssel für die Verschlüsselung und die HMAC-Erstellung im Schlüsselbund zu speichern. Es wird nicht wasserdicht sein, aber Sie sind gerade einige Betrüger losgeworden. Jetzt wissen Sie, wie man sichere iOS-Spiele entwickelt. Wenn Sie noch weiter gehen möchten, schauen Sie sich unser Training an: iOS Application Security Fundamentals.