Игру для Android продолжают взламывать

Моя идея не защищена от хакеров, но может снизить интерес к взлому игры.

Фримиум-модель

1) Сделайте первые 5-10 уровней бесплатными, чтобы люди могли изучить игру и повеселиться, не платя. Меньше захочется взломать первый уровень и игра будет распространяться еще дальше по модели Freemium.

Условно-бесплатные/кластеризованные пакеты уровней

2) Пусть часть игровых уровней или логики останется онлайн. Например. при достижении 5-го, 10-го или 15-го уровня загружайте небольшие части для игры и каждый раз отправляйте журнал прогресса из игры и сверяйте его с возможными значениями + хэш-кодами. Возможно, это позволит автоматически закрывать взломанные учетные записи.

Скрытая защита от мошенников

3) Вы также можете просто посчитать «маленькие предупреждающие флажки», которые вы размещаете в игре. Не просто проверяйте «валидацию» в начале, не встраивайте эти флаги в саму игровую логику. Не заставляйте его ломать геймплей, потому что тогда его никто не будет искать. Затем, когда пользователь достиг конца монстра уровня, проверьте, были ли зарегистрированы какие-либо предупреждающие флаги. Они не будут отображаться в игре, поэтому неосведомленный пользователь со взломанной версией может играть часами/днями и вдруг понять, что он/она не может закончить игру или перейти на следующий уровень, потому что в игре есть «ошибка». Чего пользователь не знал, так это того, что эта ошибка возникает только на взломанных клиентах.

Заключение

Будь умнее крекеров. Заставьте их думать, что работа сделана. Сделайте защиту от копирования и знайте, что более продвинутые взломщики смогут ее снять. Но они, вероятно, не хотят играть 50 уровней, чтобы проверить, работает ли кряк до конца.

Как только они осознают эту проблему, они могут начать решать и ее. Но если вы разобьете игру на пакеты уровней, вы все равно сможете проверять их между загрузками каждого пакета. Поэтому, как только вы получите взломанные хеш-данные клиента, просто выполните исключение и завершите игру на клиенте. Упс игра вылетела. Не говорите его, потому что его взломали. Может случиться ошибка программы. :-)

Опять же, это не защита от хакеров. Но это может раздражать их настолько, что они переходят к следующей игре. Наконец, вы также можете выпускать регулярные обновления для игры, и только последняя версия должна иметь возможность «публиковать записи» и т. д., поэтому активным пользователям придется обновляться, чтобы быть в курсе.

Некоторое время я занимался декомпиляцией и взломом apk (не варез, а моды и хаки, в основном для приложений Google и платформы Android, всегда соблюдая политику xda-developers).

Как только вы научитесь читать smali, это будет почти то же самое, что читать исходный код Java (но с гораздо большим количеством LOC). Таким образом, любой код, который вы добавляете для проверки ключей, может быть найден и удален или заменен. Вам даже не нужно перекомпилировать каждый раз, чтобы удалить более одного (некоторые поиски творят чудеса, чтобы найти похожие фрагменты кода), и, даже если для их поиска необходимы циклы компиляции/перекомпиляции, это всего лишь вопрос одной или двух минут. для декомпиляции: все автоматизировано с помощью apktool и даже больше с помощью apkmanager.

Сказав это, я предлагаю вам реализовать какую-то онлайн-таблицу оценок или аналогичную, и когда пользователь просматривает таблицу оценок в Интернете, вы можете проверить внедренный вами хэш-код и сравнить его с соответствующей учетной записью gmail. Таким образом, вы можете сообщить о взломе в Google и отправить неприятное сообщение пользователю вареза, объясняя, почему это незаконно.

Конечно, можно было бы реализовать новый хак, чтобы убрать таблицу подсчета очков, но это снизило бы интерес к варезу.

Удачи.

Обновить

После исследования, чтобы ответить на этот вопрос: внедрение кода в APK (действительно о механизме Amazon DRM), Я могу немного рассказать о том, как Amazon защищает приложения: он включает методы проверки правильности установки везде (вы можете увидеть пример того, как они это делают, в моем ответе на этот вопрос). Это сделает любую попытку взломать приложение не очень сложной, но чрезвычайно утомительной. Я считаю, что это сильная сторона: хакеры не захотят тратить так много времени на выполнение множества повторяющихся задач: это не сложно и скучно. Главный недостаток, который я вижу в этом подходе, — это возможность взломать само приложение Amazon, чтобы, конечно, всегда возвращать правильный ответ. Но если вы смешаете свои текущие проверки хэша с какой-то онлайн-проверкой, разбросанной среди ваших методов, я полагаю, что шансы на его взлом могут резко снизиться.

Взято из моего решения из этого сообщения Избегайте взлома apk

Внедрите собственную библиотеку лицензирования

Я бы также посоветовал вам проверить это из записи Google I/O 2011 YouTube:

Уклонение от пиратов и остановка вампиров

РЕДАКТИРОВАТЬ:

Примечания к презентации из раздела Уклонение от пиратов и остановка вампиров

Некоторые основные ключевые моменты

• Изменить LVL
• Реализовать Уровень защиты от взлома
• Используйте обфускация
• Добавьте отражение

Я знаю, что вы на самом деле не занимаетесь запутыванием, но мне действительно нужно отреагировать на это:

Отсюда я не хочу запутывать наш код, поскольку я видел, как он раньше ломался. Я хочу что-то более твердое, и я также хочу научиться делать это правильно.

По моему опыту, ProGuard очень надежен, и это несмотря на то, что я использую несколько расширенных функций, таких как AIDL и некоторый собственный код, который вызывает метод Java. Требуется немного усилий, чтобы прочитать документацию и сделать все правильно, но как только вы там ProGuard чрезвычайно надежен, а также оптимизирует ваше приложение.

Пользовательские приемы безопасности/криптографии хороши, но без запутывания, по моему скромному мнению, это все равно, что бросить камень в воду.

Я использовал ProGuard в производстве много месяцев, и он работает безупречно.

Если вы хотите учиться, внимательно прочитайте руководство ProGuard, поэкспериментируйте с ним и просмотрите журналы вывода.

Вероятность того, что талантливых программистов больше, чем ВАС (касается всех программистов), составляет 100%. И если это правда, вы не можете исправить взлом. Но вы можете потратить на это столько времени и сил, чтобы обанкротиться.

Если вы хотите заработать серьезные деньги, вам нужно провести некоторое исследование целевой группы пользователей и поведенческих наук. Вам нужно заставить пользователей играть, которые приносят новые деньги, вот и все.

Кроме того, ты все неправильно понял. Хакеры являются наиболее активными членами вашей пользовательской базы, они просто ведут себя не так, как вы предполагали.

Возьмем, к примеру, игры Zynga на Facebook. Думаете, вас взломают? - Да, и около +100000 игроков только играют, потому что можно использовать ботов, которые все автоматизируют.

Наличие огромной активной пользовательской базы ботнета, состоящей из реальных людей, заставляет геймеров-архиваторов хотеть играть в игру - и если ты играешь, и это выглядит круто, то Avarage Joe тоже захочет играть. Если играет Avarage Joe, то его друзья могут захотеть поиграть, а вас, вероятно, не будет волновать ничего другого, кроме как быть лучше своего друга, убивать время или иметь о чем поболтать. Друзья среднего Джо, скорее всего, будут готовы платить за то, чтобы быть лучше, чем Джо, но, скорее, они хотели бы инвестировать во что-то, что позволит им стать лучше.

Кроме того, если реальная ценность заключается в том, чтобы играть в игру бесплатно, то пользователи, которые используют бесплатную взломанную версию, скорее всего, никогда не будут платить за нее. Но ваши Avarage Joes и их друзья просто могут. Так что это как самая дешевая реклама, которую вы можете иметь. Если вы хотите заработать на своей большой пользовательской базе, то просто делайте новые версии игры с небольшими изменениями уровней и графики.

Пиратство всегда будет проблемой. По большому счету, взломщики лучше разбираются в этой игре Безопасность через неизвестность, чем разработчики.

Какой интересный и волнующий вопрос. :-) В качестве упражнения вы можете попробовать выпустить приложение через Amazon; у них есть собственный механизм DRM; Интересно, работает ли он лучше, чем ProGuard...

Одним из ключевых элементов, на мой взгляд, является распространение кода, чтобы он не был весь в одном месте. Если у вас есть функция с именем LicenseChecker.checkLicense(), которая извлекает лицензию и проверяет ее, вы можете быть уверены, что она будет быстро отключена.

Единственное преимущество, которое у вас есть, заключается в том, что взломщики не могут видеть комментарии вашего кода (и, если вы запутываете, имена методов/переменных), поэтому придумайте что-нибудь странное. В onCreate() одного действия вы получаете идентификатор лицензии. В onResume() вы получаете другое значение для проверки. Может создадим тему и проверим там. И тогда какой-то другой не относящийся к делу фрагмент кода (возможно, элемент управления игрока) может взять значение, сравнить его и сохранить результат где-нибудь. Затем три других нерелевантных фрагмента кода независимо проверят это значение и отключат ваше приложение, если оно не совпадает.

Теперь я должен заранее сказать, что это может вызвать головную боль для вас — очевидно, загроможденный, неприятный код труднее отлаживать и склонен вызывать ошибки. В худшем случае вы создаете ложные срабатывания в законно приобретенных приложениях.

И, конечно же, все можно перепроектировать — как только взломщики найдут место, где приложение отключено, они отследят значение, из которого считывается. Затем они могли бы отследить, где он хранится, и отследить это… или, что намного проще, они могут просто отключить окончательную проверку (именно поэтому я рекомендовал 3 разных места, все запуски отложены). Безопасность зависит от самого слабого звена.

Вы не сможете остановить пиратство. Лучше всего отложить распространение пиратской копии до тех пор, пока не утихнет первоначальный ажиотаж вокруг вашего приложения.

Во-первых, я НЕ считаю себя профессионалом в области безопасности ПО, но:

Я думаю, что важно, чтобы приложение в какой-то части (частях) зависело от проверки подписи. Не позволяйте ему воздействовать немедленно, но позвольте ему установить некоторые флаги или изменить некоторые значения. позже используйте эти флаги, проверьте их, пусть их отсутствие/неправильность вызовет какое-то исключение, которое, возможно, завершит приложение. Пока проверка подписи актуальна только в данный момент, ее легко обойти, удалить строку, как только она затрагивает больше областей в коде, ваше приложение становится труднее (или менее проще...) взломать. Также, на мой взгляд, не все проверки должны вызывать одну и ту же процедуру для санкции, потому что это также облегчит поиск механизма защиты и его прекращение.

Конечно, санкции, применяемые в случае нелегального ПО, могут различаться, вы можете захотеть завершить работу приложения при незаконном использовании, но вы также можете захотеть, чтобы оно работало, и отправлять только сообщение, которое просит пользователя купить легальную копию. приложения.

Если это именно то, что вы не хотели слышать, то мне жаль вашего времени :)

Пользователям Android придется смириться с постоянными телефонными домами. Единственное безопасное Android-приложение — это постоянно подключенное Android-приложение.

Во многом это связано с отказом Google заблокировать установку, как это сделала Apple. На IOS вам нужно сделать джейлбрейк телефона. На Android вы можете загрузить любой APK из стоковой заводской установки.

Храните часть/большую часть/весь свой контент на сервере; доставить его кусками; проверяйте лицензию/сеанс при каждом вызове.

Подавить такое поведение будет невероятно сложно. Все, что обрабатывается на стороне клиента, можно взломать с помощью декомпиляции и модификации APK, редактирования памяти с помощью программного обеспечения, такого как Игровой страж и т. д.

Единственный способ, которым я вижу, как частично обойти это, - это вместо этого сделать онлайн-игру. Или некоторые функции обрабатываются онлайн. Или если шифрование против несанкционированного доступа, такое как denuvo, когда-либо будет доступно для Android / iOS.