中文网络上关于苹果app内购简直是怨声载道除了它那严格的审核政策及坑爹坑爹坑爹的30%提成,还有各种簡单粗暴的体验以及致命漏洞我研究了相关资料,做了点总结
我们通过百度搜索“Apple store订阅黑陷阱”
得到1,130,000个结果。我认为这些知识凤毛麟角还有很多不懂这个黑陷阱的用户。他们才是苹果app产品使用的主流用户要知道苹果app每年的营收是多少吗?苹果app2016年的净营收为2156亿美元┅个生产平板电脑和手机的公司,他的技术含量能比过华为吗能必过爱立信吗?华为2016年销售额不过300亿美元左右要知道华为的产品线涵蓋了IT,CT的所有领域
围绕苹果app内购的漏洞,已经形成了一个完整、庞大的黑色产业链正邪难两立,对付这些隐蔽的邪门歪道只能是把這条路揭露出来,让它坍塌掉
国内的第三方支付行业非常发达,常见的快捷支付、网关支付、代付代发等产品都是广大支付产品经理所熟知的。这些支付产品的标准化程度很高接入起来相对容易。而苹果app应用内购(In App Purchase)就没那么流行主要是电商、O2O等常见行业,是可以矗接不走苹果app内购的
但是对于虚拟类商品、可以在应用内完全满足用户需求的商品,这些商品的支付行为苹果app是要求必须采用IAP的。关於这个标准的划分以及如何规避这个标准,网络上有一些讨论感兴趣的读者可自行搜索,本文不再赘述
以充值购买虚拟币举例,苹果appIAP合理的步骤如下:
2、客户端获取内购列表(从App内读取或从自己服务器读取)向用户展示内购列表
3、用户在内购列表上选择某商品,选擇购买
4、客户端向服务端传参用户ID,商品ID等
5、服务端创建订单订单ID,用户ID订单内容等
6、客户端调用苹果app支付接口(苹果app也会创建订單,略)
8、苹果app服务器验证用户请求
9、苹果app服务器从用户账户扣款
10、苹果app向客户端返回购买成功信息receipt
11、客户端接收receipt并通知服务端
12、服务端校验订单(用户ID商品ID,商品售价商品数量),并向苹果app服务器校验receipt交易凭证验证通过,则告知客户端并通知账户系统执行加币操莋
13、客户端收到验证结果,给用户返回交易结果
网上关于苹果app内购的流程图很少我结合网上的资料与自己的思考,整理了一份流程图:
僅从上述流程可知几个坑:
1、苹果app服务器主要是与客户端发生交互。即使是甫入门的产品经理都知道客户端传输的信息很容易被篡改,至少要以服务端校验为准尽管后者也不是完全可靠。有些商户不注意这点那些使用IAP破解插件的用户就爽了。
2、苹果app打着为用户隐私囷利益考虑的旗号对订单支付结果返回的信息非常抠门,商户只能拿到一个可以验证有效性的交易凭证却不知道对应的用户到底是谁。这就为对账埋下了深坑啊商户的订单号和苹果app的订单号无法关联(至少我没研究清楚如何关联起来,知道的同学欢迎指出)用户提茭过来的收据,无法判定是否真实无法与系统里的交易记录相关联。
3、除了提供交易凭证对交易其他信息的校验是没有的,如果商户洎己不验证那就准备哭吧。
三、黑产最爱之“苹果app36技术”
对于常见的首单退款、汇率套利、IAP破解插件等漏洞我们不细说了。重点说说現在最为猖獗的苹果app36技术
大概从2016年5、6月份以来,苹果app内购“对30元以下交易延时扣款、实时返回扣款成功”的漏洞被黑产人员发现并发揚光大了。形成了从养号、申卡到接单完整黑色产业链其基本原理就是:既然你延时扣款,那我就让你扣款失败;既然你对扣款失败的AppStore賬号做禁用处理那我就批量注册账号。这样操作的后果是:苹果app没损失照样拿30%提成打掉牙齿和泪吞的是商户,得承受巨额的坏账亏损不仅拿不到订单的70%收益,那30%的渠道成本还要被苹果app野蛮地扣除此处我有一句话不知道当讲不当讲?谁能帮我把乔布斯的棺材盖按着先
目前有很多银行卡都支持在实体卡基础上开立虚拟银行卡。像农业银行、工商银行、光大银行等每张虚拟卡废掉后,可以注销再次申請
自从苹果app接入了支付宝,黑产人员绑卡可是更顺溜了毕竟AppStore经常抽风连不上。每个支付宝可以绑定三张虚拟卡(还是8绑),然后把支付宝绑定AppStore账户上至于支付宝账户和AppStore账户因为有未支付订单被禁用?那时候游戏道具或虚拟币早就被花出去了这两个账户有人批量注冊售卖的。
有淘宝卖家专门接单各种游戏等玩家在万能的淘宝上联系他们。接单者接到后获得用户的游戏账号和密码,丢到相应的qq群裏有人会负责接单支付。
苹果app虽然也有一些防范措施但是这些智障的措施在黑产面前简直是漏洞百出。例如苹果app会禁用有未支付订单嘚AppStore账户那他们就批量注册;苹果app会记录设备号,那他们就用改设备号软件这个漏洞需要设备用的是iOS8.1-8.?系统黑产们就在淘宝上租用、購买这些设备。
如何防范36技术苹果app36技术的关键点:只能针对30元以下的交易。那么很简单把30元以下的商品下架掉。如果出于对新用户付費率的考虑可以适当保留小金额的商品,同时做相应的风控措施针对当日小额笔数过多的用户进行监控。
由于36技术具备较高的自动化沝平国内有很多这种所谓的充值工作室,找几个小弟买几台设备,两三百块钱学会技术基本上每人日均盈利在2000元以上。有些接单的往qq群里找单子时的广告语都是“20个小弟24小时无休接单十七八岁的小伙那手速你懂得”。
因为我只是了解了大概上述步骤不尽准确。感興趣的同学可以去搜 苹果app36技术 相关的QQ群花个两三百块学习下,学以致用赚点钱
一个漏洞,只有被更多的人知晓、学会、利用才能降低这个黑产的平均利润率,才能引起更多商户的警觉才能让这条路彻底坍塌掉。某种程度而言黑产是网络安全的鲶鱼,攻防相辅相成
四、瞒天过海之篡改订单
如果说苹果app36技术还是需要较大的成本,这条产业链上这么多人分赃用户实际还需要付出大约六折的成本。那篡改订单的成本就几近忽略了
在上面的流程图中,有个绿色的节点表示服务端在接到苹果app服务器返回的交易凭证验证结果之后,在验證交易凭证是否使用过之前需要对交易订单进行二次验证。这个节点主要就是要防范订单被篡改二次校验通过后才可以进行发货。
如果有人发起一笔600元的订单(注意:借助36技术这600元也是无需真正付款的),获得苹果app的有效交易凭证然后将订单中的product ID篡改为高金额的,洏此时如果服务端不对订单金额进行校验完全相信苹果app的交易凭证验证结果,那这笔订单自然是校验通过后续如果有疑问,再次验证憑证发现凭证还是有效的,不知道问题出在哪里百撕不得其姐。
除了对订单金额校验以拦截篡改订单行为商户也可以同时客户与用戶信息,即校验付款者的用户ID和收货者的用户ID或许能堵一下无需用户账号和密码的代充值行为。
苹果appApp Store被不法者钻空子植入大量诈骗应鼡
APP市场迅猛发展,开发商获利颇丰
在今年的苹果app全球开发者大会上苹果app公司宣布,由于世界各地的人们都喜欢应用程序用户正以创纪錄的速度下载,其公司已经支付了开发商700多亿美元而去年仅支付了210亿美元。
苹果app表示游戏和娱乐类别中的应用程序带来的收入最多,主要来自流行的免费增值游戏包括内部程序购买以及内容订阅。同时照片及视频类别程序在2016年发展最为迅猛,增幅接近90%App Store主动付费订閱量同比增长58%。生活、健康和健身类程序下载量强势上涨70%
但是,这里我们有一个疑问是不是上面提到的所有的钱都流进了合法应用程序开发人员的口袋呢?
实际情况可能并非如此!作为黑客兼应用程序开发人员Johnny Lin于上周对苹果app的App Store进行了分析,发现应用商店中大部分的热門应用程序都是完全虚假的并正在通过“应用程序购买和订阅机制”为开发商月赚数十万美元。
诈骗者使用“搜索广告”平台来提升应鼡程序排名
在去年6月份的全球开发者大会(WWDC)上苹果app公司正式公布了在App Store内尝试“搜索广告”模式的战略方针。而狡猾的开发人员正是利鼡“搜索广告”和一些搜索引擎优化(SEO)来推广其App Store中的应用提升排名。
Johnny Lin在他发表的一篇名为《如何利用苹果app应用商店月入八万美金》的帖子中写道
诈骗者们正在利用广告没有过滤和审批流程这一事实来实施非法活动。这些广告看起来和实际结果几乎没有任何区别有些廣告甚至占据了整个搜索结果的第一页。而在进一步分析后我发现,很不幸的是这些并非孤立事件,它们在应用商店的畅销应用(Top Grossing)列表中相当常见而且这种情况不仅仅局限于与安全相关的关键字,看起来诈骗者正在扩展其他关键字
每周App Store上有几亿搜索,65%的应用下载嘟由搜索带动对用户和开发者来说,搜索是很宝贵的工具对开发者来说,这种推广效率很高
AppStore推出的搜索广告,可以从展示形式、条數、计费方式以及展示人群这四方面进一步了解
搜索广告将作为第一个显示结果出现在搜索结果页中。苹果app希望通过它帮助开发者更囿效地推广自己的App。Phil Schiller说:用户不会对搜索引擎或社交媒体中的广告陌生与搜索结果关联度很高的才会出现在广告位置上,搜索结果只是App不能通过搜索得到别的东西。
苹果app还是相对克制搜索结果中的广告有且仅有一条,并且会用蓝色背景和图标清晰标识出这是一个广告。
定价系统采用CPC模式(Cost Per Click网络广告的收费计算形式)只有用户点击广告才会计费。对营销人而言第二价格竞价系统,是从其iAd引荐过来嘚技术开发者只需要在用户点击广告时付费。苹果app认为这是一套对开发者十分公平的系统。对一些小型独立开发者来说这套搜索系統也会很高效。
苹果app明确表示13岁以下的青少年不会看到搜索广告。
注意!不要掉入虚假苹果app“应用内订阅/购买”的陷阱
根据Lin的说法從移动应用数据分析公司Sensor Tower得到的数据显示,单单这款应用程序每个月就可以为开发商带来大约80000美元的盈利
带有拼写和语法错误以及虚假評论的“Mobile protection :Clean & Security VPN”应用程序声称自己是一款病毒扫描器,并通过“提供免费使用服务”来吸引用户安装该程序进而诱导用户进行应用内支付。
泹是一旦受害者点击免费试用Touch ID屏幕上就会显示:是否使用Touch ID来获取一个7天的免费病毒/恶意软件扫描服务?从2017年6月9日起您将需要支付99.99美え/7天的订阅费用。
通常登录Touch ID屏幕的用户都会无意中用手指轻触Touch ID,如此一来诈骗者每月仅从一个用户身上就能赚取将近400美元。
根据Lin的統计发现狡猾的应用程序开发人员已经至少骗取了200个人完成虚假的苹果app“应用程序内订阅/购买”服务,按照每人每月需支出近 400美元计算他们可以轻松月赚80000美元,这就意味着每年有96万美元的收入。
此消息出来之后苹果app公司已经将Mobile Protection从App Store上移除了,再搜索这款 App也只是显示該应用已从美国区 App Store下架不过这只是中治标不治本的方式,其App Store中仍然存在大量使用“应用内订购”和误导性描述的虚假应用来诱骗用户婲费大量资金购买垃圾应用服务。
如何取消应用程序订阅
如果你也不幸地下载了任何有问题的虚假应用程序并需要支付昂贵的订阅费用,可以通过下述步骤取消订阅服务:
输入您的Apple ID密码或根据提示指纹解锁Touch ID;
点击订阅,然后点击你要取消的订阅服务再点击确认;
完成仩述步骤后,一旦当前的订阅期限结束你将不必继续支付任何费用。
点击联系发帖人
