我們在今年春節後上線了新的在線智能題庫:猿題庫。猿題庫現在推出了公務員考試行測和申論2個產品,均包括web, iOS和Android三個平臺。這次我們嘗試做一個收費的產品,所以在iOS端集成了應用內支付(IAP)功能。在開發過程中和上線後,我們遇到了 IAP中的一些坑,在此分享給各位。
IAP 審覈相關的坑
IAP開發的詳細步驟我寫在另一篇博客中了。在此主要介紹審覈時遇到的問題。
IAP類型錯誤
由於我們是按月付費的產品,所以在設置IAP類型時,我沒有經驗,只是簡單設置成了可重複消費(Consumable)的IAP項目。但是我不知 道,蘋果對於這種按時間收費的產品,應該使用不可更新的定閱(Non-Renewing Subscription)類型。這個類型設置錯誤造成了我們app的一次審覈被拒。
IAP驗證邏輯
由於蘋果在iOS5.0以下有IAP的bug,使得攻擊者可以僞造支付成功的憑證。而iOS6.0的系統在越獄後同樣可以僞造憑證,所以我們對於應用內支付,增加了服務器端的驗證。服務器端會將支付憑證發給蘋果的服務器進行二次驗證,以保證憑證是真實有效的。
在我們公司的測試服務器中,我們會連接蘋果的測試服務器(https://sandbox.itunes.apple.com/verifyReceipt)驗證。
在我們部署在線上的正式服務器中,我們會連接蘋果的正式服務器(https://buy.itunes.apple.com/verifyReceipt )驗證。
我們提交給蘋果審覈的是正式版,我們以爲蘋果審覈時,我們應該連接蘋果的線上驗證服務器來驗證購買憑證。結果我理解錯了,蘋果在審覈App時,只會 在sandbox環境購買,其產生的購買憑證,也只能連接蘋果的測試驗證服務器。但是審覈的app又是連接的我們的線上服務器。所以我們這邊的服務器無法 驗證通過IAP購買,造成我們app的又一次審覈被拒。
解決方法是判斷蘋果正式驗證服務器的返回code,如果是21007,則再一次連接測試服務器進行驗證即可。蘋果的這一篇文檔上有對返回的code的詳細說明。
IAP上線後的遇到的情況
我們在服務器端增加了驗證IAP是否有效的邏輯。在產品上線後,如我們所料,我們收到了大量的欺騙性購買,這些都被我們的服務器識別出來了,但是我們也遇到了以下這次沒有想到的情況:
1、由於國內越獄用戶的比例比較大(大概爲50%),所以雖然我們服務器會驗證購買憑證,但是每天有超過50%以上的憑證都是僞造的。同時由於蘋果 的驗證服務器在美國,憑證驗證請求響應的時間比較慢,大量的僞造憑證發給蘋果服務器,不知道會不會被蘋果認爲我們是在惡意進行DDOS。至少我們發現有些 時候,驗證請求會超時。
2、由於國內有許多小白用戶,他們的手機從購買時就被渠道商幫忙越獄過了並且安裝了IAP free插件。所以對於這類用戶,他們即使想付費購買,由於系統原有的IAP支付功能已經被破壞,所以他們是無法正常付費的。麻煩的是,他們會以爲這是我 們的app的問題,轉而給我們的客服打電話投訴。這讓我們非常鬱悶。
3、蘋果的驗證服務器有時候會出問題,我們發現本來約定好返回的JSON數據在有幾次返回的居然是一個XML格式的文件。造成我們將正常的付費 IAP憑證驗證失敗。所以,在服務器記錄下所有的驗證憑證非常有必要,一來可以防止黑客多次提交同一個成功憑證的重放攻擊,二來在需要時可以手工進行再驗 證。
越獄手機可能被黑客竊取購買憑證!
我們發現有一部分用戶反饋說已經收到蘋果的扣費賬單,但是我們從服務器的驗證記錄看,他上傳的憑證卻是虛假的。由於這些用戶不太多,我們一開始以爲 是用戶在惡意欺騙我們,後來我們讓他將蘋果的付費賬單郵件轉發給我們,以及將itunes的購買記錄截圖轉發給我們,我們越來越懷疑這裏面有一個黑色的產 業鏈。越獄手機的正常購買憑證可能被黑客的惡意程序截獲,具體的攻擊方式我們討論了一下,其實就是被中間人攻擊,詳細的過程如下:
1.越獄手機的在被破解後,可能從一些破解渠道安裝了黑客的惡意程序。
2.黑客將越獄手機所有https請求都經過他的中間服務器。
3.當有支付請求時,黑客先將請求發給蘋果服務器,待蘋果將成功的憑證返回後,黑客將這個憑證替換成假的憑證,完全支付憑證的偷取。
或許有人會問,這個憑證拿來有什麼用呢?很簡單 ,因爲蘋果爲了保護用戶的隱私,支付憑證中並不包含任何用戶的apple id信息,所以我們的app和服務器無法知道這個憑證是誰買的,而只能知道這個憑證是真的還是假的。於是黑客就可以用這個憑證,在另外的賬號中通知我們完 成了購買,而發來的驗證憑證又是真實的,所以我們的服務器就會誤認爲是黑客的賬號完成了購買,繼而把會員期算在黑客的賬號上。
再舉一個簡單的例子,你拿500塊錢買了順風優選的500元購物券,由於這個購物券是不記名的,所以順風優選無法知道是誰買的。如果這個購物券在發 放過程中被人掉包,那麼偷購物券的人就可以拿這個偷來的真購物券來購物,而順風優選的卡因爲是不記名的,所以也無法查證這件事情。在這個例子中,購物券的 不記名和蘋果的支付憑證無賬號信息是同一個道理。
鑑於以上情況,考慮到越獄手機不但不能成功支付,還會有安全問題,所以我們在新版中取消了越獄手機中的IAP支付功能。
所以,請大家還是不要越獄自己的手機,iphone手機越獄後風險相當大。實在不值得爲了免費玩幾個遊戲就丟掉安全性。