ในวิดีโอเกมจำนวนมาก การตรวจสอบการชำระเงินมีการใช้งานไม่ดีและหลีกเลี่ยงได้ง่าย หากคุณมีทักษะด้านคอมพิวเตอร์บ้าง
บน Google Play วิดีโอเกมส่วนใหญ่เป็นเกมฟรี แต่ต่อมาพวกเขาสนับสนุนให้ผู้ใช้จ่ายเงินสำหรับตัวเลือกหรือบริการพิเศษ การชำระเงินเหล่านี้ดำเนินการผ่านแพลตฟอร์มการชำระเงินของ Google Play Billing อย่างไรก็ตาม ปรากฎว่าระบบนี้สามารถหลีกเลี่ยงได้ โดยเปิดประตูสู่เครดิตไม่จำกัด นี่คือความจริงที่ Guillaume Lopes นักวิจัยด้านความปลอดภัยของ Randorisec เพิ่งแสดงให้เห็นในระหว่างการประชุม Hack in Paris 2019
ผู้เชี่ยวชาญได้ทดสอบแอปพลิเคชันมากกว่าสี่สิบรายการ เขาสามารถรับแจ็คพอตอัตโนมัติได้ 25 อัน ในบรรดาเกมเหล่านั้นยังมีเกมคลาสสิกที่ยอดเยี่ยมอย่าง Doodle Jump, Snoopy Pop หรือ Fruit Ninja ในระหว่างการสาธิต นักวิจัยแสดงให้เห็นว่าเขาสามารถให้ลูกอมได้ 1,000 ลูกใน Doodle Jump ซึ่งทำให้เขาสามารถเลือกชุดอื่นได้
การแฮ็กนี้เกิดขึ้นได้เนื่องจากบรรณาธิการเหล่านี้ไม่เคารพแนวปฏิบัติที่ดีในแง่ของสถาปัตยกรรมทางเทคนิค เมื่อผู้ใช้ต้องการซื้อโบนัส คำขอจะถูกโอนไปยัง Google Play Billing ซึ่งจะดูแลกระบวนการชำระเงิน เมื่อการโอนเงินเสร็จสิ้นระบบจะส่งการยืนยันการชำระเงินกลับไปยังผู้จัดพิมพ์ Google ขอแนะนำให้นักพัฒนารับและประมวลผลการยืนยันนี้ทางฝั่งเซิร์ฟเวอร์ แต่หลายคนไม่สนใจกับความซับซ้อนดังกล่าวและเพียงตรวจสอบการซื้อโดยตรงในแอปพลิเคชันสมาร์ทโฟน ปัญหาคือใครๆ ก็สามารถแก้ไขโค้ดของแอปพลิเคชันนี้และทำให้การตรวจสอบความถูกต้องเป็นจริงได้เสมอ
อย่างไรก็ตาม เพื่อให้บรรลุเป้าหมายนี้ คุณต้องมีทักษะทางเทคนิคบางประการ คุณต้องถอดรหัสแอปพลิเคชัน ตรวจหาฟังก์ชันการตรวจสอบความถูกต้อง และแก้ไขในลักษณะที่คุณสามารถข้ามการชำระเงินได้ จากนั้นคุณจะต้องคอมไพล์แอปพลิเคชันใหม่และแน่นอนเปิดใช้งานตัวเลือก "ยอมรับแอปพลิเคชันจากแหล่งที่ไม่รู้จัก" บน Android และนั่นมัน“ใน Doodle Jump หรือ Snoopy Pop มันค่อนข้างง่าย ใน Fruit Ninja มันซับซ้อนกว่าอยู่แล้วเพราะการตรวจสอบความถูกต้องอาศัยไลบรารีที่ใช้ร่วมกันซึ่งวิเคราะห์ได้ยากกว่า ส่วนบริษัทอื่นๆ เช่น King ผู้จัดพิมพ์ใช้เทคนิคการทำให้งงงวย ซึ่งทำให้เป็นเรื่องยากมากกิโยม โลเปส อธิบาย
Google อนุญาตเป็นพิเศษ
แต่ผู้จัดพิมพ์ส่วนใหญ่ดูเหมือนจะไม่ค่อยใส่ใจมากนัก ยิ่งไปกว่านั้น ไม่มีใครตอบสนองต่อคำขอของนักวิจัยด้านความปลอดภัยเลย เรายังอาจสงสัยว่าเหตุใด Google จึงอนุญาตและอนุมัติการตรวจสอบการชำระเงินในท้องถิ่น ใน App Store ของ Amazon และ Samsung นักพัฒนาถูกบังคับให้ประมวลผลการชำระเงินทางฝั่งเซิร์ฟเวอร์
โปรดทราบว่าท้ายที่สุดแล้ว เกมเป็นหมวดหมู่แอปพลิเคชันเดียวที่สามารถแฮ็กข้อมูลนี้ได้“แอปหนังสือพิมพ์และนิตยสารต้องการให้คุณสร้างบัญชีและรับรองความถูกต้อง ซึ่งช่วยให้เพิ่มการตรวจสอบฝั่งเซิร์ฟเวอร์ได้ ดังนั้นเทคนิคการแก้ปัญหานี้จึงไม่ได้ผล”ระบุถึงกิโยม โลเปส ซึ่งให้รายละเอียดเกี่ยวกับเทคนิคของเขาในกโพสต์ในบล็อก-
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
