揭秘苹果内购的大漏洞和内购订阅的黑陷阱

中文网络上关于苹果内购简直是怨声载道,除了它那严格的审核政策及坑爹坑爹坑爹的30%提成,还有各种简单粗暴的体验以及致命漏洞。我研究了相关资料,做了点总结。

我们通过百度搜索“Apple store订阅黑陷阱” 得到1,130,000个结果。我认为这些知识凤毛麟角。还有很多不懂这个黑陷阱的用户。他们才是苹果产品使用的主流用户。要知道苹果每年的营收是多少吗?苹果2016年的净营收为2156亿美元。一个生产平板电脑和手机的公司,他的技术含量能比过华为吗?能必过爱立信吗?华为2016年销售额不过300亿美元左右,要知道华为的产品线涵盖了IT,CT的所有领域。

围绕苹果内购的漏洞,已经形成了一个完整、庞大的黑色产业链。正邪难两立,对付这些隐蔽的邪门歪道,只能是把这条路揭露出来,让它坍塌掉。

 

一、苹果IAP简介

国内的第三方支付行业非常发达,常见的快捷支付、网关支付、代付代发等产品,都是广大支付产品经理所熟知的。这些支付产品的标准化程度很高,接入起来相对容易。而苹果应用内购(In App Purchase)就没那么流行,主要是电商、O2O等常见行业,是可以直接不走苹果内购的。

但是对于虚拟类商品、可以在应用内完全满足用户需求的商品,这些商品的支付行为,苹果是要求必须采用IAP的。关于这个标准的划分,以及如何规避这个标准,网络上有一些讨论,感兴趣的读者可自行搜索,本文不再赘述。

二、IAP的主要流程

以充值购买虚拟币举例,苹果IAP合理的步骤如下:

1、用户点击充值按钮

2、客户端获取内购列表(从App内读取或从自己服务器读取),向用户展示内购列表

3、用户在内购列表上选择某商品,选择购买

4、客户端向服务端传参,用户ID,商品ID等

5、服务端创建订单,订单ID,用户ID,订单内容等

6、客户端调用苹果支付接口(苹果也会创建订单,略)

7、用户通过AppStore账户验证

8、苹果服务器验证用户请求

9、苹果服务器从用户账户扣款

10、苹果向客户端返回购买成功信息receipt

11、客户端接收receipt并通知服务端

12、服务端校验订单(用户ID,商品ID,商品售价,商品数量),并向苹果服务器校验receipt,交易凭证验证通过,则告知客户端,并通知账户系统执行加币操作

13、客户端收到验证结果,给用户返回交易结果

 

网上关于苹果内购的流程图很少,我结合网上的资料与自己的思考,整理了一份流程图:

仅从上述流程,可知几个坑:

1、苹果服务器主要是与客户端发生交互。即使是甫入门的产品经理,都知道客户端传输的信息很容易被篡改,至少要以服务端校验为准,尽管后者也不是完全可靠。有些商户不注意这点,那些使用IAP破解插件的用户就爽了。

2、苹果打着为用户隐私和利益考虑的旗号,对订单支付结果返回的信息非常抠门,商户只能拿到一个可以验证有效性的交易凭证,却不知道对应的用户到底是谁。这就为对账埋下了深坑啊。商户的订单号和苹果的订单号无法关联(至少我没研究清楚如何关联起来,知道的同学欢迎指出),用户提交过来的收据,无法判定是否真实,无法与系统里的交易记录相关联

3、除了提供交易凭证,对交易其他信息的校验是没有的,如果商户自己不验证,那就准备哭吧。

 

三、黑产最爱之“苹果36技术”

对于常见的首单退款、汇率套利、IAP破解插件等漏洞,我们不细说了。重点说说现在最为猖獗的苹果36技术。

 

大概从2016年5、6月份以来,苹果内购“对30元以下交易延时扣款、实时返回扣款成功”的漏洞,被黑产人员发现并发扬光大了。形成了从养号、申卡到接单完整黑色产业链。其基本原理就是:既然你延时扣款,那我就让你扣款失败;既然你对扣款失败的AppStore账号做禁用处理,那我就批量注册账号。这样操作的后果是:苹果没损失照样拿30%提成,打掉牙齿和泪吞的是商户,得承受巨额的坏账亏损,不仅拿不到订单的70%收益,那30%的渠道成本还要被苹果野蛮地扣除。此处我有一句话不知道当讲不当讲?谁能帮我把乔布斯的棺材盖按着先。

 

主要的步骤如下:

1)申卡

目前有很多银行卡都支持在实体卡基础上开立虚拟银行卡。像农业银行、工商银行、光大银行等。每张虚拟卡废掉后,可以注销再次申请。

2)支付宝绑卡

自从苹果接入了支付宝,黑产人员绑卡可是更顺溜了。毕竟AppStore经常抽风连不上。每个支付宝可以绑定三张虚拟卡(还是8绑?),然后把支付宝绑定AppStore账户上。至于支付宝账户和AppStore账户因为有未支付订单被禁用?那时候游戏道具或虚拟币早就被花出去了,这两个账户有人批量注册售卖的。

3)接单

有淘宝卖家专门接单,各种游戏等玩家在万能的淘宝上联系他们。接单者接到后,获得用户的游戏账号和密码,丢到相应的qq群里,有人会负责接单支付。

4)其他

苹果虽然也有一些防范措施,但是这些智障的措施在黑产面前简直是漏洞百出。例如苹果会禁用有未支付订单的AppStore账户,那他们就批量注册;苹果会记录设备号,那他们就用改设备号软件。这个漏洞需要设备用的是iOS8.1-8.?系统,黑产们就在淘宝上租用、购买这些设备。

 

如何防范36技术?苹果36技术的关键点:只能针对30元以下的交易。那么很简单,把30元以下的商品下架掉。如果出于对新用户付费率的考虑,可以适当保留小金额的商品,同时做相应的风控措施,针对当日小额笔数过多的用户进行监控。

 

由于36技术具备较高的自动化水平,国内有很多这种所谓的充值工作室,找几个小弟,买几台设备,两三百块钱学会技术,基本上每人日均盈利在2000元以上。有些接单的往qq群里找单子时的广告语都是“20个小弟24小时无休接单,十七八岁的小伙那手速你懂得”。

 

因为我只是了解了大概,上述步骤不尽准确。感兴趣的同学可以去搜 苹果36技术 相关的QQ群,花个两三百块学习下,学以致用赚点钱。

 

一个漏洞,只有被更多的人知晓、学会、利用,才能降低这个黑产的平均利润率,才能引起更多商户的警觉,才能让这条路彻底坍塌掉。某种程度而言,黑产是网络安全的鲶鱼,攻防相辅相成。

 

四、瞒天过海之篡改订单

如果说苹果36技术还是需要较大的成本,这条产业链上这么多人分赃,用户实际还需要付出大约六折的成本。那篡改订单的成本就几近忽略了。

在上面的流程图中,有个绿色的节点,表示服务端在接到苹果服务器返回的交易凭证验证结果之后,在验证交易凭证是否使用过之前,需要对交易订单进行二次验证。这个节点主要就是要防范订单被篡改。二次校验通过后才可以进行发货。

如果有人发起一笔600元的订单(注意:借助36技术,这600元也是无需真正付款的),获得苹果的有效交易凭证,然后将订单中的product ID篡改为高金额的,而此时如果服务端不对订单金额进行校验,完全相信苹果的交易凭证验证结果,那这笔订单自然是校验通过,后续如果有疑问,再次验证凭证,发现凭证还是有效的,不知道问题出在哪里,百撕不得其姐。

除了对订单金额校验以拦截篡改订单行为,商户也可以同时客户与用户信息,即校验付款者的用户ID和收货者的用户ID,或许能堵一下无需用户账号和密码的代充值行为。

苹果App Store被不法者钻空子,植入大量诈骗应用

APP市场迅猛发展,开发商获利颇丰

在今年的苹果全球开发者大会上,苹果公司宣布,由于世界各地的人们都喜欢应用程序,用户正以创纪录的速度下载,其公司已经支付了开发商700多亿美元,而去年仅支付了210亿美元。

苹果表示,游戏和娱乐类别中的应用程序带来的收入最多,主要来自流行的免费增值游戏,包括内部程序购买以及内容订阅。同时,照片及视频类别程序在2016年发展最为迅猛,增幅接近90%。App Store主动付费订阅量同比增长58%。生活、健康和健身类程序下载量强势上涨70%。

但是,这里我们有一个疑问,是不是上面提到的所有的钱都流进了合法应用程序开发人员的口袋呢?

实际情况可能并非如此!作为黑客兼应用程序开发人员,Johnny Lin于上周对苹果的App Store进行了分析,发现应用商店中大部分的热门应用程序都是完全虚假的,并正在通过“应用程序购买和订阅机制”为开发商月赚数十万美元。

诈骗者使用“搜索广告”平台来提升应用程序排名

在去年6月份的全球开发者大会(WWDC)上,苹果公司正式公布了在App Store内尝试“搜索广告”模式的战略方针。而狡猾的开发人员正是利用“搜索广告”和一些搜索引擎优化(SEO)来推广其App Store中的应用,提升排名。

Johnny Lin在他发表的一篇名为《如何利用苹果应用商店月入八万美金》的帖子中写道,

诈骗者们正在利用广告没有过滤和审批流程这一事实来实施非法活动。这些广告看起来和实际结果几乎没有任何区别,有些广告甚至占据了整个搜索结果的第一页。而在进一步分析后,我发现,很不幸的是,这些并非孤立事件,它们在应用商店的畅销应用(Top Grossing)列表中相当常见。而且这种情况不仅仅局限于与安全相关的关键字,看起来诈骗者正在扩展其他关键字。

App Store搜索广告的具体内容

苹果高级副总裁Phil Schiller表示,

每周App Store上有几亿搜索,65%的应用下载都由搜索带动。对用户和开发者来说,搜索是很宝贵的工具。对开发者来说,这种推广效率很高。

AppStore推出的搜索广告,可以从展示形式、条数、计费方式以及展示人群这四方面进一步了解。

1. 展示形式

苹果App Store被不法者钻空子,植入大量诈骗应用

搜索广告将作为第一个显示结果出现在搜索结果页中。苹果希望,通过它帮助开发者更有效地推广自己的App。Phil Schiller说:用户不会对搜索引擎或社交媒体中的广告陌生。与搜索结果关联度很高的才会出现在广告位置上,搜索结果只是App,不能通过搜索得到别的东西。

2. 条数 

苹果还是相对克制,搜索结果中的广告有且仅有一条,并且会用蓝色背景和图标,清晰标识出这是一个广告。

3. 计费方式 

定价系统采用CPC模式(Cost Per Click网络广告的收费计算形式),只有用户点击广告才会计费。对营销人而言,第二价格竞价系统,是从其iAd引荐过来的技术,开发者只需要在用户点击广告时付费。苹果认为,这是一套对开发者十分公平的系统。对一些小型独立开发者来说,这套搜索系统也会很高效。

4. 展示人群 

苹果明确表示,13岁以下的青少年不会看到搜索广告。

注意!不要掉入虚假苹果“应用内订阅/购买”的陷阱 

Johnny Lin发现,在应用商店“畅销应用”中有一款名为“Mobile protection :Clean & Security VPN”的应用程序,用户只需将其拇指放在Touch ID上,就可以完成每周需要支付99.99美元订阅费的垃圾服务。

苹果App Store被不法者钻空子,植入大量诈骗应用

根据Lin的说法,从移动应用数据分析公司Sensor Tower得到的数据显示,单单这款应用程序每个月就可以为开发商带来大约80000美元的盈利。

带有拼写和语法错误以及虚假评论的“Mobile protection :Clean & Security VPN”应用程序声称自己是一款病毒扫描器,并通过“提供免费使用服务”来吸引用户安装该程序,进而诱导用户进行应用内支付。

但是一旦受害者点击免费试用,Touch ID屏幕上就会显示:是否使用Touch ID来获取一个7天的免费病毒/恶意软件扫描服务?从2017年6月9日起,您将需要支付99.99美元/7天的订阅费用。

苹果App Store被不法者钻空子,植入大量诈骗应用

通常,登录Touch ID屏幕的用户都会无意中用手指轻触Touch ID,如此一来,诈骗者每月仅从一个用户身上就能赚取将近400美元。

根据Lin的统计发现,狡猾的应用程序开发人员已经至少骗取了200个人完成虚假的苹果“应用程序内订阅/购买”服务,按照每人每月需支出近 400美元计算,他们可以轻松月赚80000美元,这就意味着,每年有96万美元的收入。

此消息出来之后,苹果公司已经将Mobile Protection从App Store上移除了,再搜索这款 App也只是显示该应用已从美国区 App Store下架。不过这只是中治标不治本的方式,其App Store中仍然存在大量使用“应用内订购”和误导性描述的虚假应用,来诱骗用户花费大量资金购买垃圾应用服务。

如何取消应用程序订阅? 

如果你也不幸地下载了任何有问题的虚假应用程序并需要支付昂贵的订阅费用,可以通过下述步骤取消订阅服务:

打开设置APP并转到iTunes & App Store→Apple ID → 查看 Apple ID;
输入您的Apple ID密码,或根据提示指纹解锁Touch ID;
点击订阅,然后点击你要取消的订阅服务,再点击确认;

完成上述步骤后,一旦当前的订阅期限结束,你将不必继续支付任何费用。

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页