落格輸入法 X 應對自我簽署憑證破解攻擊

落格工作室於 3 月 30 日得到消息——落格輸入法 X 訂閱遭到破解,惡意使用者可修改蘋果購買回執(Receipt)內容實現任意時長的訂閱效果而不需要真正進行付費。

絕大部分內購 App 中招,我們第一時間進行了回應。

本次破解主要是針對那些本地直接與蘋果伺服器進行通信解密回執的 App (考慮到破解腳本裡有針對內購的通用 Rewrite,任何直接與蘋果伺服器通信解密的 App 理論上都會直接被破解);另外還有許多同樣忽視了本地安全性的 App,它們雖然與自家伺服器進行通訊,可並沒有做任何資料完整性驗證,所以也遭到破解。

在 4 月初,我們開始在使用者群收到不少用戶反饋,實際上我們已經在進行安全性改進了,以保證付費使用者的權益。

現在起,落格輸入法 X 會透過自家伺服器 im.logcg.com 進行中轉,以保證來自蘋果的解密資訊完整一致;另外,在輸入法與伺服器之間通訊時,傳輸資料也會經過 RSA 非對稱憑證簽章驗證,配合時間戳,以保證收到的資料是正確、完整、未經中間人篡改的。

最終,在確認新版本能夠有效避免被此技術破解後,我們關閉了迄今為止所有舊版下載管道(也就是說,拒絕使用者從 App Store 抓包舊版),避免惡意用戶通過退回舊版的方式來繼續使用技術破解。

——感謝第一時間通知我的那些使用者們。

 

延伸閱讀: