iOS 7でアプリ内レシートとバンドルレシートをローカルで検証する完全なソリューション
理論的にはアプリ内および/またはバンドルの領収書を検証する多くのドキュメントとコードを読みました。
SSL、証明書、暗号化などに関する私の知識はほぼゼロであり、私が読んだすべての説明 この有望なもののように を考えると、理解するのが難しいことがわかりました。
すべての人がそれを行う方法を理解する必要があるため、説明が不完全である、またはハッカーはパターンを認識して特定し、アプリケーションにパッチを適用できるクラッカーアプリを簡単に作成できると言います。 OK、ある点までこれに同意します。彼らはそれを行う方法を完全に説明し、「このメソッドを変更する」、「この他のメソッドを変更する」、「この変数を難読化する」、「これとその名前を変更する」などの警告を出すことができると思います.
iOS 7でローカルに検証、領収書とアプリ内購入領収書をローカルに検証する方法を説明するのに十分な親切な人がいますか? 3)、上から下に、明らかにしますか?
ありがとう!!!
アプリで動作しているバージョンがあり、ハッカーがあなたのやり方を見るのが心配な場合は、ここで公開する前に機密方法を変更するだけです。文字列を難読化し、行の順序を変更し、ループの実行方法を変更します(forを使用して列挙をブロックする、またはその逆)。明らかに、ここに投稿される可能性のあるコードを使用するすべての人は、簡単にハッキングされる危険を冒さないために同じことをしなければなりません。
アプリ内購入ライブラリ RMStore でこれをどのように解決したかを説明します。領収書全体の確認を含む、取引の確認方法について説明します。
一目で
レシートを取得し、トランザクションを確認します。失敗した場合は、領収書を更新して再試行してください。これにより、領収書の更新が非同期になるため、検証プロセスが非同期になります。
RMAppReceipt *receipt = [RMAppReceipt bundleReceipt];
const BOOL verified = [self verifyTransaction:transaction inReceipt:receipt success:successBlock failure:nil]; // failureBlock is nil intentionally. See below.
if (verified) return;
// Apple recommends to refresh the receipt if validation fails on iOS
[[RMStore defaultStore] refreshReceiptOnSuccess:^{
RMAppReceipt *receipt = [RMAppReceipt bundleReceipt];
[self verifyTransaction:transaction inReceipt:receipt success:successBlock failure:failureBlock];
} failure:^(NSError *error) {
[self failWithBlock:failureBlock error:error];
}];
領収書データを取得する
領収書は[[NSBundle mainBundle] appStoreReceiptURL]にあり、実際にはPCKS7コンテナです。私は暗号化を嫌うので、OpenSSLを使用してこのコンテナーを開きました。他の人は、純粋に システムフレームワーク でそれを行っているようです。
OpenSSLをプロジェクトに追加するのは簡単ではありません。 RMStore wiki が役立つはずです。
OpenSSLを使用してPKCS7コンテナーを開くことを選択した場合、コードは次のようになります。 RMAppReceipt から:
+ (NSData*)dataFromPKCS7Path:(NSString*)path
{
const char *cpath = [[path stringByStandardizingPath] fileSystemRepresentation];
FILE *fp = fopen(cpath, "rb");
if (!fp) return nil;
PKCS7 *p7 = d2i_PKCS7_fp(fp, NULL);
fclose(fp);
if (!p7) return nil;
NSData *data;
NSURL *certificateURL = [[NSBundle mainBundle] URLForResource:@"AppleIncRootCertificate" withExtension:@"cer"];
NSData *certificateData = [NSData dataWithContentsOfURL:certificateURL];
if ([self verifyPKCS7:p7 withCertificateData:certificateData])
{
struct pkcs7_st *contents = p7->d.sign->contents;
if (PKCS7_type_is_data(contents))
{
ASN1_OCTET_STRING *octets = contents->d.data;
data = [NSData dataWithBytes:octets->data length:octets->length];
}
}
PKCS7_free(p7);
return data;
}
検証の詳細については後で説明します。
領収書フィールドを取得する
領収書はASN1形式で表されます。これには、一般情報、検証目的のいくつかのフィールド(後で説明します)、および該当する各アプリ内購入の特定の情報が含まれています。
繰り返しになりますが、OpenSSLはASN1を読み取る際に役立ちます。 RMAppReceipt から、いくつかのヘルパーメソッドを使用して:
NSMutableArray *purchases = [NSMutableArray array];
[RMAppReceipt enumerateASN1Attributes:asn1Data.bytes length:asn1Data.length usingBlock:^(NSData *data, int type) {
const uint8_t *s = data.bytes;
const NSUInteger length = data.length;
switch (type)
{
case RMAppReceiptASN1TypeBundleIdentifier:
_bundleIdentifierData = data;
_bundleIdentifier = RMASN1ReadUTF8String(&s, length);
break;
case RMAppReceiptASN1TypeAppVersion:
_appVersion = RMASN1ReadUTF8String(&s, length);
break;
case RMAppReceiptASN1TypeOpaqueValue:
_opaqueValue = data;
break;
case RMAppReceiptASN1TypeHash:
_hash = data;
break;
case RMAppReceiptASN1TypeInAppPurchaseReceipt:
{
RMAppReceiptIAP *purchase = [[RMAppReceiptIAP alloc] initWithASN1Data:data];
[purchases addObject:purchase];
break;
}
case RMAppReceiptASN1TypeOriginalAppVersion:
_originalAppVersion = RMASN1ReadUTF8String(&s, length);
break;
case RMAppReceiptASN1TypeExpirationDate:
{
NSString *string = RMASN1ReadIA5SString(&s, length);
_expirationDate = [RMAppReceipt formatRFC3339String:string];
break;
}
}
}];
_inAppPurchases = purchases;
アプリ内購入の取得
各アプリ内購入もASN1にあります。それを解析することは、一般的な領収書情報を解析することと非常に似ています。
RMAppReceipt から、同じヘルパーメソッドを使用して:
[RMAppReceipt enumerateASN1Attributes:asn1Data.bytes length:asn1Data.length usingBlock:^(NSData *data, int type) {
const uint8_t *p = data.bytes;
const NSUInteger length = data.length;
switch (type)
{
case RMAppReceiptASN1TypeQuantity:
_quantity = RMASN1ReadInteger(&p, length);
break;
case RMAppReceiptASN1TypeProductIdentifier:
_productIdentifier = RMASN1ReadUTF8String(&p, length);
break;
case RMAppReceiptASN1TypeTransactionIdentifier:
_transactionIdentifier = RMASN1ReadUTF8String(&p, length);
break;
case RMAppReceiptASN1TypePurchaseDate:
{
NSString *string = RMASN1ReadIA5SString(&p, length);
_purchaseDate = [RMAppReceipt formatRFC3339String:string];
break;
}
case RMAppReceiptASN1TypeOriginalTransactionIdentifier:
_originalTransactionIdentifier = RMASN1ReadUTF8String(&p, length);
break;
case RMAppReceiptASN1TypeOriginalPurchaseDate:
{
NSString *string = RMASN1ReadIA5SString(&p, length);
_originalPurchaseDate = [RMAppReceipt formatRFC3339String:string];
break;
}
case RMAppReceiptASN1TypeSubscriptionExpirationDate:
{
NSString *string = RMASN1ReadIA5SString(&p, length);
_subscriptionExpirationDate = [RMAppReceipt formatRFC3339String:string];
break;
}
case RMAppReceiptASN1TypeWebOrderLineItemID:
_webOrderLineItemID = RMASN1ReadInteger(&p, length);
break;
case RMAppReceiptASN1TypeCancellationDate:
{
NSString *string = RMASN1ReadIA5SString(&p, length);
_cancellationDate = [RMAppReceipt formatRFC3339String:string];
break;
}
}
}];
消耗品や更新不可能なサブスクリプションなどの特定のアプリ内購入は、領収書に一度しか表示されないことに注意してください。これらは購入直後に確認する必要があります(これもRMStoreが役立ちます)。
一目で確認
これで、領収書とすべてのアプリ内購入からすべてのフィールドを取得しました。最初にレシート自体を検証し、次にレシートにトランザクションの製品が含まれているかどうかを確認します。
以下は、最初にコールバックしたメソッドです。 RMStoreAppReceiptVerificator から:
- (BOOL)verifyTransaction:(SKPaymentTransaction*)transaction
inReceipt:(RMAppReceipt*)receipt
success:(void (^)())successBlock
failure:(void (^)(NSError *error))failureBlock
{
const BOOL receiptVerified = [self verifyAppReceipt:receipt];
if (!receiptVerified)
{
[self failWithBlock:failureBlock message:NSLocalizedString(@"The app receipt failed verification", @"")];
return NO;
}
SKPayment *payment = transaction.payment;
const BOOL transactionVerified = [receipt containsInAppPurchaseOfProductIdentifier:payment.productIdentifier];
if (!transactionVerified)
{
[self failWithBlock:failureBlock message:NSLocalizedString(@"The app receipt doest not contain the given product", @"")];
return NO;
}
if (successBlock)
{
successBlock();
}
return YES;
}
領収書の確認
領収書自体の検証は、次のように要約されます。
- 領収書が有効なPKCS7およびASN1であることを確認します。すでに暗黙的にこれを行っています。
- レシートがAppleによって署名されていることを確認します。これは領収書を解析する前に行われたもので、以下で詳しく説明します。
- 領収書に含まれているバンドル識別子がバンドル識別子に対応していることを確認します。アプリのバンドルを変更して他の領収書を使用することはそれほど難しくないと思われるため、バンドル識別子をハードコードする必要があります。
- 領収書に含まれているアプリのバージョンがアプリのバージョン識別子に対応していることを確認します。上記と同じ理由で、アプリのバージョンをハードコーディングする必要があります。
- レシートハッシュをチェックして、レシートが現在のデバイスに対応していることを確認します。
RMStoreAppReceiptVerificator からの高レベルのコードの5つのステップ:
- (BOOL)verifyAppReceipt:(RMAppReceipt*)receipt
{
// Steps 1 & 2 were done while parsing the receipt
if (!receipt) return NO;
// Step 3
if (![receipt.bundleIdentifier isEqualToString:self.bundleIdentifier]) return NO;
// Step 4
if (![receipt.appVersion isEqualToString:self.bundleVersion]) return NO;
// Step 5
if (![receipt verifyReceiptHash]) return NO;
return YES;
}
ステップ2と5にドリルダウンしてみましょう。
レシート署名の検証
データを抽出したとき、領収書の署名の検証を見ました。領収書はApple Inc.ルート証明書で署名されます。これは、 Appleルート認証局 からダウンロードできます。次のコードは、PKCS7コンテナーとルート証明書をデータとして取得し、それらが一致するかどうかを確認します。
+ (BOOL)verifyPKCS7:(PKCS7*)container withCertificateData:(NSData*)certificateData
{ // Based on: https://developer.Apple.com/library/content/releasenotes/General/ValidateAppStoreReceipt/Chapters/ValidateLocally.html#//Apple_ref/doc/uid/TP40010573-CH1-SW17
static int verified = 1;
int result = 0;
OpenSSL_add_all_digests(); // Required for PKCS7_verify to work
X509_STORE *store = X509_STORE_new();
if (store)
{
const uint8_t *certificateBytes = (uint8_t *)(certificateData.bytes);
X509 *certificate = d2i_X509(NULL, &certificateBytes, (long)certificateData.length);
if (certificate)
{
X509_STORE_add_cert(store, certificate);
BIO *payload = BIO_new(BIO_s_mem());
result = PKCS7_verify(container, NULL, store, NULL, payload, 0);
BIO_free(payload);
X509_free(certificate);
}
}
X509_STORE_free(store);
EVP_cleanup(); // Balances OpenSSL_add_all_digests (), per http://www.openssl.org/docs/crypto/OpenSSL_add_all_algorithms.html
return result == verified;
}
これは、領収書が解析される前の最初に行われました。
レシートハッシュの検証
領収書に含まれるハッシュは、デバイスIDのSHA1、領収書に含まれる不透明な値、およびバンドルIDです。
これは、iOSでレシートハッシュを確認する方法です。 RMAppReceipt から:
- (BOOL)verifyReceiptHash
{
// TODO: Getting the uuid in Mac is different. See: https://developer.Apple.com/library/content/releasenotes/General/ValidateAppStoreReceipt/Chapters/ValidateLocally.html#//Apple_ref/doc/uid/TP40010573-CH1-SW5
NSUUID *uuid = [[UIDevice currentDevice] identifierForVendor];
unsigned char uuidBytes[16];
[uuid getUUIDBytes:uuidBytes];
// Order taken from: https://developer.Apple.com/library/content/releasenotes/General/ValidateAppStoreReceipt/Chapters/ValidateLocally.html#//Apple_ref/doc/uid/TP40010573-CH1-SW5
NSMutableData *data = [NSMutableData data];
[data appendBytes:uuidBytes length:sizeof(uuidBytes)];
[data appendData:self.opaqueValue];
[data appendData:self.bundleIdentifierData];
NSMutableData *expectedHash = [NSMutableData dataWithLength:SHA_DIGEST_LENGTH];
SHA1(data.bytes, data.length, expectedHash.mutableBytes);
return [expectedHash isEqualToData:self.hash];
}
そして、それがその要点です。あちこちで何かが足りないかもしれないので、後でこの投稿に戻るかもしれません。いずれにしても、詳細については完全なコードを参照することをお勧めします。
誰も言及していないことに驚いています Receigen ここ。これは、毎回異なる難読化されたレシート検証コードを自動的に生成するツールです。 GUIとコマンドラインの両方の操作をサポートします。強くお勧めします。
(Receigenと提携していない、ただの幸せなユーザー。)
rake receigenと入力すると、このようなRakefileを使用して、Receigenを自動的に再実行します(バージョンが変更されるたびに実行する必要があるため)。
desc "Regenerate App Store Receipt validation code using Receigen app (which must be already installed)"
task :receigen do
# TODO: modify these to match your app
bundle_id = 'com.example.YourBundleIdentifierHere'
output_file = File.join(__dir__, 'SomeDir/ReceiptValidation.h')
version = PList.get(File.join(__dir__, 'YourProjectFolder/Info.plist'), 'CFBundleVersion')
command = %Q</Applications/Receigen.app/Contents/MacOS/Receigen --identifier #{bundle_id} --version #{version} --os ios --prefix ReceiptValidation --success callblock --failure callblock>
puts "#{command} > #{output_file}"
data = `#{command}`
File.open(output_file, 'w') { |f| f.write(data) }
end
module PList
def self.get file_name, key
if File.read(file_name) =~ %r!<key>#{Regexp.escape(key)}</key>\s*<string>(.*?)</string>!
$1.strip
else
nil
end
end
end
注:クライアント側でこのタイプの検証を行うことはお勧めしません
これはSwift 4アプリ内購入領収書の検証用バージョンです...
レシート検証の考えられるエラーを表す列挙型を作成できます
enum ReceiptValidationError: Error {
case receiptNotFound
case jsonResponseIsNotValid(description: String)
case notBought
case expired
}
次に、領収書を検証する関数を作成しましょう。検証できない場合はエラーをスローします。
func validateReceipt() throws {
guard let appStoreReceiptURL = Bundle.main.appStoreReceiptURL, FileManager.default.fileExists(atPath: appStoreReceiptURL.path) else {
throw ReceiptValidationError.receiptNotFound
}
let receiptData = try! Data(contentsOf: appStoreReceiptURL, options: .alwaysMapped)
let receiptString = receiptData.base64EncodedString()
let jsonObjectBody = ["receipt-data" : receiptString, "password" : <#String#>]
#if DEBUG
let url = URL(string: "https://sandbox.iTunes.Apple.com/verifyReceipt")!
#else
let url = URL(string: "https://buy.iTunes.Apple.com/verifyReceipt")!
#endif
var request = URLRequest(url: url)
request.httpMethod = "POST"
request.httpBody = try! JSONSerialization.data(withJSONObject: jsonObjectBody, options: .prettyPrinted)
let semaphore = DispatchSemaphore(value: 0)
var validationError : ReceiptValidationError?
let task = URLSession.shared.dataTask(with: request) { data, response, error in
guard let data = data, let httpResponse = response as? HTTPURLResponse, error == nil, httpResponse.statusCode == 200 else {
validationError = ReceiptValidationError.jsonResponseIsNotValid(description: error?.localizedDescription ?? "")
semaphore.signal()
return
}
guard let jsonResponse = (try? JSONSerialization.jsonObject(with: data, options: JSONSerialization.ReadingOptions.mutableContainers)) as? [AnyHashable: Any] else {
validationError = ReceiptValidationError.jsonResponseIsNotValid(description: "Unable to parse json")
semaphore.signal()
return
}
guard let expirationDate = self.expirationDate(jsonResponse: jsonResponse, forProductId: <#String#>) else {
validationError = ReceiptValidationError.notBought
semaphore.signal()
return
}
let currentDate = Date()
if currentDate > expirationDate {
validationError = ReceiptValidationError.expired
}
semaphore.signal()
}
task.resume()
semaphore.wait()
if let validationError = validationError {
throw validationError
}
}
このヘルパー関数を使用して、特定の製品の有効期限を取得しましょう。この関数は、JSON応答と製品IDを受け取ります。 JSONレスポンスには、異なる製品の複数の領収書情報を含めることができるため、指定されたパラメーターの最後の情報を取得します。
func expirationDate(jsonResponse: [AnyHashable: Any], forProductId productId :String) -> Date? {
guard let receiptInfo = (jsonResponse["latest_receipt_info"] as? [[AnyHashable: Any]]) else {
return nil
}
let filteredReceipts = receiptInfo.filter{ return ($0["product_id"] as? String) == productId }
guard let lastReceipt = filteredReceipts.last else {
return nil
}
let formatter = DateFormatter()
formatter.dateFormat = "yyyy-MM-dd HH:mm:ss VV"
if let expiresString = lastReceipt["expires_date"] as? String {
return formatter.date(from: expiresString)
}
return nil
}
これで、この関数を呼び出して、考えられるエラーケースを処理できます
do {
try validateReceipt()
// The receipt is valid ????
print("Receipt is valid")
} catch ReceiptValidationError.receiptNotFound {
// There is no receipt on the device ????
} catch ReceiptValidationError.jsonResponseIsNotValid(let description) {
// unable to parse the json ????
print(description)
} catch ReceiptValidationError.notBought {
// the subscription hasn't being purchased ????
} catch ReceiptValidationError.expired {
// the subscription is expired ????
} catch {
print("Unexpected error: \(error).")
}
App Store Connectからパスワードを取得できます。
https://developer.Apple.comこのリンクを開くをクリックします
Account tabDo Sign inOpen iTune ConnectOpen My AppOpen Feature TabOpen In App PurchaseClick at the right side on 'View Shared Secret'At the bottom you will get a secrete key
そのキーをコピーして、パスワードフィールドに貼り付けます。
これがSwiftバージョンでそれを望むすべての人に役立つことを願っています。