Strategien für den Kampf gegen iOS-In-App-Kaufpiraterie?

8

Meine App verwendet den In-App-Kauf und ich überprüfe die Transaktionsbelege mit Apple. Dies hat mir gezeigt, dass viele Nutzer versuchen, den In-App-Kauf-Mechanismus zu missbrauchen, indem sie gefälschte Transaktionsquittungen einreichen, die eine Produkt-ID von com.zeptolab.ctrbonus.superpower1 (von "Cut the Rope") ergeben. Natürlich lasse ich sie nicht die In-App-Kauf-Artikel mit einem gefälschten Beleg verwenden. Welche Strategien gibt es, um gegen iOS-Piraterie anzukämpfen und zu versuchen, diese Leute dazu zu bringen, entweder zu zahlen oder zu leiden?

    
Jason 16.05.2013, 15:24
quelle

1 Antwort

5

Die einzige Möglichkeit, dies wirklich zu verhindern, besteht darin, alles über Ihre eigenen Server zu steuern. Selbst der berüchtigte "com.zeptolab.ctrbonus.superpower1" -Bon ist ein tatsächlich gültiger Beleg, den Apples eigener Validierungsendpunkt Ihnen mitteilen wird, dass er in Ordnung ist. Sobald eine Transaktion abgeschlossen ist, sollte die App die Transaktionsdaten an einen von Ihnen kontrollierten Server senden und:

  1. Validieren Sie die Quittung mit Apple von Ihrem eigenen Server.
  2. Wenn Apple sagt, dass es in Ordnung ist, parst du das Feld product_id aus der Antwort von Apple und vergewissere dich, dass es sich um eine Produkt-ID aus deiner App handelt.
  3. Wenn die ersten beiden Elemente erfolgreich sind, geben Sie die Daten zurück, um Ihrer App mitzuteilen, wo Sie Ihre Inhalte herunterladen können (wenn es sich um gehosteten Inhalt handelt).

Auch dies hat einen Fehler, vor allem wenn Ihr IAP-Inhalt einfach auf dem Gerät aber "gesperrt" ist. Es gibt Möglichkeiten, den Bestätigungsaufruf von Ihrem Server umzuleiten, damit Ihre App denkt, dass Ihr Server "alles in Ordnung" sagt. Dies ist wesentlich schwieriger, wenn Ihre IAP-Inhalte remote gehostet werden, da sie die Antwort mit dem Speicherort des Inhalts nicht so leicht fälschen können, wenn sie nicht wissen, wo der Inhalt an erster Stelle steht.

Das Problem bei all dem ist für die meisten Leute, dass die Kontrolle Ihrer eigenen Server und Remote-Inhalte teuer werden kann, ganz zu schweigen von der Notwendigkeit, Ihre eigene Validierungslogik zu schreiben. Je schwieriger es für diese Hacks ist, erfolgreich zu sein, desto mehr kann es dich kosten, also musst du abwägen, wie viel du sie "leiden" lässt mit wie viel Zeit, Mühe und Geld du ausgeben willst vs. wie viel du machst und / oder verlierst. Denken Sie daran, dass ein "raubkopierter" IAP nicht unbedingt einem verlorenen Verkauf entspricht, daher kann es schwierig sein, abzuschätzen, wie sehr Sie davon verlieren könnten.

    
TheCheese 06.06.2013 00:54
quelle