El juego de Android sigue siendo hackeado [cerrado]

Así que ya hemos pasado por esto varias veces, lanzamos un juego (de bajo costo) y alguien lo piratea y lo pone en un espejo. Configuramos las Alertas de Google para todas nuestras aplicaciones, por lo que nos dicen a diario quién está hackeando. Hasta ahora, hemos implementado el servicio de licencias, como lo sugirió Google, nuestra sal se hace aleatoriamente cada vez que se inicia la licencia con la identificación única del dispositivo. Ejecutamos el servicio de verificación una vez, cuando la aplicación se inicia por primera vez. Luego generamos un hash de 512 caracteres para la clave y el valor almacenado que se compara con SharedPreferences a partir de ahí en adelante.

Ahora, sé que verificar una vez es probablemente donde se bloquea la aplicación. Lo más probable es que nuestro código de bytes haya sido revisado y compilado sin la línea que inicia la verificación.

Desde aquí, no quiero ofuscar nuestro código, ya que lo he visto roto antes. Quiero algo un poco más sólido, y también quiero aprender cómo hacerlo correctamente. En este punto, estoy más interesado en aprender que en ganar dinero, ya que solo el 2% de las personas buscará alguna vez una versión pirateada.

Hasta ahora, por mi cuenta, he creado un generador de números aleatorios que se coloca en varias áreas de inicio del juego. Cuando se inicia (por ejemplo, 1 de cada 50 veces) se verifica la licencia. Sé que esto dificultaría la piratería porque el cracker tendría que eliminar cada caso, compilar, eliminar, compilar. Sin embargo, este método aún es crackable ... entonces, ¿qué sugieren ustedes? Nuevamente, estoy realmente interesado en este proceso de seguridad, así que por favor eduque, no convierta esto en una discusión sobre ofuscación o verificación periódica basada en una marca de tiempo.

Gracias

Mi idea no es una prueba de hackers, pero podría eliminar parte del interés por hackear el juego.

Modelo Freemium

1) Haz los primeros 5-10 niveles gratis para que las personas puedan aprender el juego y divertirse sin pagar. Menos querrá piratear el primer nivel y el juego se extenderá aún más por el modelo Freemium.

Shareware / paquetes de niveles agrupados

2) Deja que parte de los niveles o la lógica del juego permanezcan en línea. P.ej. al alcanzar el nivel 5 o 10 o 15, luego descargue partes pequeñas para el juego, y cada vez que envíe el registro de progreso del juego y valide esto contra posibles valores + códigos hash. Esto quizás podría permitir cerrar automáticamente las cuentas pirateadas.

Stealth Cheater Protection

3) También puedes contar "pequeñas banderas de advertencia" que colocas en el juego. No verifique la "validación" al principio, no incorpore estas banderas en la lógica del juego. No hagas que rompa el juego, porque nadie lo buscará. Luego, cuando el usuario llegó al final del monstruo de nivel, verifique si hubo alguna marca de advertencia registrada. Estos no aparecerán dentro del juego, por lo que el usuario desconocido con una edición pirateada podría estar jugando durante horas / días y darse cuenta repentinamente de que no podía terminar el juego o avanzar al siguiente nivel, porque el juego tenía un "error". Lo que el usuario no sabía era que este error solo se produce en clientes pirateados.

Conclusión

Sé más inteligente que las galletas. Engañarlos para que piensen que el trabajo está hecho. Haga una protección contra copia y sepa que los crackers más avanzados podrán eliminarla. Pero probablemente no quieran jugar 50 niveles para comprobar si el crack también funciona del todo.

Una vez que se den cuenta de este problema, podrían comenzar a resolverlo también. Pero si divide el juego en paquetes de niveles, aún puede validar entre cada descarga de paquete. Entonces, una vez que reciba los datos hash del cliente pirateado, simplemente ejecute una excepción y bloquee el juego en el cliente. Vaya, el juego se bloqueó. No digas que es porque está pirateado. Un error del programa puede suceder. :-)

De nuevo, no es una prueba de hackers. Pero podría molestarlos lo suficiente como para pasar al siguiente juego. Por último, también podría publicar actualizaciones periódicas para el juego y solo la última versión debería poder "publicar los registros", etc., de modo que los usuarios activos tendrían que actualizar para mantenerse al tanto.

He estado haciendo un poco de descompilación y pirateo de apk durante un tiempo (no warez, pero mods y hacks principalmente para las aplicaciones de google y el marco de android, siempre respetando las políticas de desarrolladores xda).

Una vez que aprende a leer smali, es casi como leer el código original de Java (pero con muchos más LOC). Por lo tanto, cualquier código que agregue para verificar las claves se puede encontrar y eliminar o reemplazar. Ni siquiera necesita volver a compilar cada vez para eliminar más de uno (algunas búsquedas hacen milagros para encontrar piezas de código similares) e, incluso si se necesitan ciclos de compilación / recompilación para encontrarlos, es solo una cuestión de uno o dos minutos descompilar: todo está automatizado por apktool y aún más por apkmanager.

Dicho esto, mi sugerencia para usted es implementar algún tipo de tabla de puntuación en línea o similar, y cuando el usuario mira la tabla de puntuación en línea, puede verificar el código hash que implementó y compararlo con la cuenta de Gmail asociada. De esa manera, puede informar el hackeo a Google y enviar un mensaje desagradable al usuario de warez, explicando por qué eso es ilegal.

Por supuesto, se podría implementar un nuevo truco para eliminar la tabla de puntuación, pero eso reduciría el interés de los warez.

Buena suerte.

Actualizar

Después de investigar para responder esta pregunta: inyectando código en APK (realmente sobre el mecanismo de Amazon DRM), puedo decir un poco sobre cómo Amazon protege las aplicaciones: incluye métodos para verificar la validez de la instalación en todas partes (puede ver un ejemplo de cómo lo hacen en mi respuesta a esa pregunta). Esto hará que cualquier intento de hackear una aplicación no sea muy difícil, pero extremadamente tedioso. Creo que es un punto fuerte: los hackers no querrán pasar tanto tiempo haciendo tantas tareas repetitivas: no es un desafío y es aburrido. El principal defecto que veo en ese enfoque es la posibilidad de hackear la aplicación de Amazon para que siempre devuelva una respuesta válida, por supuesto. Pero, si combina sus comprobaciones hash actuales con algún tipo de comprobación en línea dispersa entre sus métodos, creo que las posibilidades de que sea pirateado pueden reducirse drásticamente.

Tomado de mi solución de esta publicación Evite apk agrietado

Implemente su propia biblioteca de licencias.

También lo recomiendo para ver esto desde la grabación de Google I / O 2011 en YouTube:

Evadiendo piratas y deteniendo vampiros

EDITAR:

Las notas de presentación de evadiendo piratas y deteniendo vampiros

Algunos puntos clave básicos

• Modificar el LVL
• Implementar resistencia a la manipulación LVL
• Usar ofuscación
• Añadir reflejo

Sé que realmente no te ofuscas, pero realmente necesito reaccionar a esto:

Desde aquí, no quiero ofuscar nuestro código, ya que lo he visto roto antes. Quiero algo un poco más sólido, y también quiero aprender cómo hacerlo correctamente.

ProGuard es muy confiable en mi experiencia, y esto a pesar de que uso un par de funciones avanzadas como AIDL y algún código nativo que llama al método Java. Toma un poco de trabajo leer la documentación y hacer las cosas correctamente, pero una vez que estás ProGuard es extremadamente confiable y también optimiza su aplicación.

Los trucos de seguridad personalizados / criptográficos son buenos, pero sin ofuscación es como arrojar una piedra al agua en mi humilde opinión.

He usado ProGuard en producción durante muchos meses, y funciona perfectamente.

Si le gusta aprender, lea cuidadosamente el manual de ProGuard, experimente con él e inspeccione sus registros de salida.

La posibilidad de que haya programadores más talentosos que USTED (se aplica a todos los programadores) es del 100%. Y si eso es cierto, no puedes arreglar la piratería. Pero puede dedicarle tanto tiempo y esfuerzo para quebrar.

Si desea ganar dinero serio, debe investigar un poco sobre su grupo de usuarios objetivo y las ciencias del comportamiento. Necesitas hacer que los usuarios que jueguen traigan dinero nuevo, y eso es todo.

Además, lo entendiste todo mal. Los hackers son los miembros más activos de su base de usuarios, simplemente se comportan de una manera que no pretendían.

Tome los juegos de Zynga en Facebook, por ejemplo, ¿cree que ha sido pirateado? - Claro, y alrededor de +100000 jugadores solo juegan, porque puedes usar bots, que automatizan todo.

Tener una gran base de usuarios activa de botnets de personas reales, hace que los jugadores de tipo archivero quieran jugar, y si juegas, y se ve genial, entonces Avarage Joe también querrá jugar. Si Avarage Joe juega, entonces sus amigos podrían querer jugar, y probablemente no le importará nada más, entonces ser mejor que su amigo, matar el tiempo o tener algo de qué hablar. Es probable que los amigos de Avarage Joe estén dispuestos a pagar para ser mejores que Joe, pero más bien le gustaría invertir en algo que los haga mejores.

Además, si el valor real es jugar el juego gratis, entonces los usuarios que usan la versión gratuita pirateada, probablemente nunca habrían pagado por ello. Pero tú eres Avarage Joes y sus amigos podrían. Así que este es el comercial más barato que puedes tener. Si quieres ganar dinero con tu gran base de usuarios, solo crea nuevas versiones del juego con pequeños cambios en los niveles y gráficos.

La piratería siempre será un problema. En general, los crackers son mejores para jugar a este juego de seguridad aunque oscuridad que los desarrolladores.

Qué pregunta tan interesante e inquietante. :-) Como ejercicio, puede intentar lanzar una aplicación a través de Amazon; tienen su propio mecanismo DRM; Me pregunto si funciona mejor que ProGuard ...

En mi opinión, uno de los elementos clave es extender el código para que no esté todo en un solo lugar. Si tiene una función llamada LicenseChecker.checkLicense () que recupera la licencia y la verifica, puede estar seguro de que se deshabilitará de inmediato.

La única ventaja que tiene es que los crackers no pueden ver los comentarios de su código (y, si se ofusca, los nombres de los métodos / variables), se le ocurre algo extraño. En onCreate () de una actividad, obtiene el ID de la licencia. En onResume (), obtienes otro valor para compararlo. Tal vez cree un hilo y haga algunas verificaciones allí. Y luego, alguna otra pieza de código irrelevante (tal vez el control del jugador) podría recoger el valor y compararlo y almacenar el resultado en algún lugar. Luego, otras tres partes de código irrelevantes comprobarán de forma independiente ese valor y desactivarán su aplicación si no coincide.

Ahora debería decir de antemano que esto puede causarle dolor de cabeza: obviamente, el código desordenado y desagradable es más difícil de depurar y puede causar errores. En el peor de los casos, crea falsos positivos en aplicaciones compradas legítimamente.

Y, por supuesto, todo se puede aplicar ingeniería inversa: una vez que los crackers encuentran el lugar donde la aplicación está deshabilitada, rastrean el valor que se está leyendo. Luego podrían rastrear dónde se está almacenando y rastrear eso ... o, mucho más fácil, simplemente pueden deshabilitar la verificación final (es por eso que recomendé 3 lugares diferentes, todos desencadenados). La seguridad es tan buena como el eslabón más débil.

No podrás detener la piratería. Su mejor opción es retrasar la difusión de una copia pirateada hasta que la publicidad inicial sobre su aplicación se haya calmado.

Primero, NO me considero un profesional en el campo de la seguridad de SW, pero:

Creo que una cosa importante es dejar que la aplicación dependa en alguna parte de la verificación de firma. No deje que afecte de inmediato, pero deje que establezca algunas banderas o cambie algunos valores. más adelante, use esas banderas, verifíquelas, deje que su ausencia / incorrección provoque una excepción de algún tipo que terminará la aplicación tal vez. Siempre que la verificación de firma solo sea relevante en este momento, es fácil omitirla, eliminar la línea, una vez que toca más áreas en el código, su aplicación se vuelve más difícil (o menos fácil ...) de hackear. Además, tal como lo veo, no todas las verificaciones deberían llamar a la misma rutina para la sanción, porque esto también facilitará la búsqueda del mecanismo de protección y su finalización.

Por supuesto, la sanción a tomar en casos de SW ilegal puede variar, es posible que desee bloquear la aplicación cuando se usa ilegalmente, pero es posible que también desee mantenerla en funcionamiento y solo enviar un mensaje que le pida al usuario que compre una copia legal de la aplicación.

Si esto es justo lo que no querías escuchar, entonces lamento tu tiempo :)

Los usuarios de Android simplemente aceptarán el dolor de las casas telefónicas constantes. La única aplicación segura de Android es una aplicación de Android siempre conectada.

Esto se debe, en gran parte, a la negativa de Google a bloquear la instalación, como lo ha hecho Apple. En IOS tienes que hacer jailbreak al teléfono. En Android, puede cargar cualquier APK en una instalación estándar de fábrica.

Mantenga parte / la mayoría / todo su contenido en el servidor; entregarlo en trozos; validar la licencia / sesión en cada llamada.

Será increíblemente difícil inhibir este tipo de comportamiento. Todo lo que se maneja en el lado del cliente se puede piratear mediante la descompilación y modificación de APK, la edición de memoria con software como Game Guardian ect.

La única forma en que puedo ver cuán parcialmente es evitar hacer un juego en línea. O tener ciertas funciones manejadas en línea. O si el cifrado antisabotaje como Denuvo alguna vez está disponible para Android / iOS.