落格工作室于 3 月 30 日得到消息——落格输入法 X 订阅遭到破解,恶意用户可修改苹果购买回执(Receipt)内容实现任意时长的订阅效果而不需要真正进行付费。
绝大部分内购 App 中招,我们第一时间进行了响应。
本次破解主要是针对那些本地直接与苹果服务器进行通信解密回执的 App (考虑到破解脚本里有针对内购的通用 Rewrite,任何直接与苹果服务器通信解密的 App 理论上都会直接被破解);另外还有许多同样忽视了本地安全性的 App,它们虽然与自家服务器进行通信,可并没有做任何数据完整性验证,所以也遭到破解。
在 4 月初,我们开始在用户群收到不少用户反馈,实际上我们已经在进行安全性改进了,以保证付费用户的权益。
现在起,落格输入法 X 会通过自家服务器 im.logcg.com 进行中转,以保证来自苹果的解密信息完整一致;另外,在输入法与服务器之间通信时,传输数据也会经过 RSA 非对称证书签名校验,配合时间戳,用以保证收到的数据是正确、完整、未经中间人篡改的。
最终,在确认新版本能够有效避免被此技术破解后,我们关闭了迄今为止所有旧版下载渠道(也就是说,拒绝用户从 App Store 抓包旧版),避免恶意用户通过退回旧版的方式来继续使用技术破解。
——感谢第一时间通知我的那些用户们。
延伸阅读: