การป้องกันการ hack In-app Purchase by heha

ใครทำ app มาก็ย่อมที่จะไม่ต้องการให้ app ของเราโดน hack แหล่งหาเงินของเราอย่าง In-app purchase (ต่อไปนี้ขอเรียกสั้นๆ ว่า IAP) ไปได้ ในบทความนี้จะแนะนำ App ประเภทเกมเป็นหลัก ซึ่งหลักๆ การป้องกันการ hack จะแบ่งเป็นสองวิธีหลักๆ ดังนี้

1. ป้องกันที่ตัวมือถือ (Client) ซึ่งวิธีนี้อาจทำโดยเข้ารหัสตัวแปรไม่ให้ทำ Memory Hacking ได้ง่ายๆ หรือรวมไปถึงการตรวจสอบตามมาตรฐาน SDK ของทั้ง iOS และ Android ว่า Server ส่งค่ามาถูก ผ่านกระบวนการมาถูกหรือไม่ ซึ่งวิธีนี้อาจโดนแก้เกมได้ด้วยการสร้าง server จำลองขึ้นมาภายในตัวมือถือเองและหลอก app ว่ามันได้ติดต่อ server apple หรือ google จริงๆ แล้ว ทำให้ app เราไม่สามารถรู้ได้เลยว่าเรากำลังคุยกับ server ตัวจริงหรือไม่

2. ป้องกันที่การส่งข้อมูลระหว่าง Client กับ Server ให้มีการ encrypt ตัวแปรก่อนส่ง และ decrypt ตัวแปรออกมาเซพลงฐานข้อมูล วิธีนี้จะป้องกันการ hack ที่มาจากการดัก packet network ว่า app เรายิงเข้า server ที่ URL ไหนหลังจากสั่งซื้อ IAP สำเร็จ แล้วทำการยิง URL นั้นซ้ำเพื่อปั้มหน่วยเงิน Premium ในเกมของเรารัวๆ เหมือนซื้อครั้งเดียวแล้วจะรู้ช่องทางในการปั๊มเงินไปตลอดกาล ซึ่งแม้ว่าจะป้องกันการยิงตรงได้ด้วยการนำตัวแปรแวดล้อมอื่นๆ จากตัวเครื่องเช่นเวลามา encrypt ตัวแปรที่จะส่งให้ server ด้วยแล้ว แต่ถ้า Hacker สามารถ Decompile .apk กลับมาเป็น source code ได้(อย่างสวยงาม) Hacker ก็สามารถล่วงรู้ algorithm ที่เราใช้ encrypt ตัวแปรก่อนส่งเข้า server ได้อยู่ดี และสุดท้ายก็จะสามารถเลียนแบบการ encrypt เพื่อหลอก server ของเราว่ายิงมาจาก client จริงๆ ได้

3. ป้องกันด้วยการเก็บข้อมูลของเกมทุกอย่างไว้ที่ server แล้วโหลดข้อมูลจาก server มา update ที่ client ทุกครั้งก่อนเล่น และยิงข้อมูล transaction ไปตรวจสอบที่ server google/apple โดยตรง วิธีนี้ถือเป็นวิธีที่ปลอดภัยที่สุดและจะทำให้เราสามารถป้องกันการ hack ได้ 100% (ถ้า server ของเราเองไม่มีช่องโหว่ที่โจมตีได้จากช่องทางอื่น) แต่จะมีข้อเสียสองอย่างคือไม่สามารถทำเป็นเกม offline อย่างสมบูรณ์ได้ เพราะต้องเชื่อมต่อ internet ตลอดเวลาเพื่อ sync ข้อมูล และอย่างที่สองคือจะมีค่าใช้จ่ายเป็นค่าเช่า server ของเราเอง ซึ่งหากยอมรับในสองข้อนี้ได้ วิธีนี้จะเป็นวิธีที่ดีที่สุด สำหรับขั้นตอนหลักการทำงานดูได้จากรูปด้านล่าง ให้เปลี่ยนจาก iTune Store เป็น Play Store หรือผู้ให้บริการของ platform OS นั้นๆ เช่น Apple, Google, Amazon และ Soomla Server คือ Server ของเราเองที่เช่าเอาไว้ ซึ่งไม่ว่าจะเป็น Store ที่ไหนก็ตามจะมีวิธียืนยัน Transaction แบบนี้เหมือนๆ กันหมด ใช้ได้ทุกเจ้าครับ

หมายเหตุ : ภาพจาก http://blog.soom.la/2013/10/announcing-server-side-verification-for.html

3.1 ติดต่อ iTune Store เพื่อสั่งซื้อไอเท็มที่ต้องการ
3.2 ได้รับข้อมูลการสั่งซื้อซึ่งจะมี transaction id อยู่ในนั้นด้วย (ของ Google Play จะเป็น purchaseToken ของ App Store จะเป็น payload)
3.3 นำข้อมูลการสั่งซื้อนั้นยิงไปที่ server ของเราเอง
3.4 นำข้อมูลการสั่งซื้อจาก server ของเราเองนั้นยิงไปที่ server ของ iTune Store อีกทีเพื่อตรวจสอบว่าเป็นรายการที่เกิดขึ้นจริงหรือไม่
3.5 iTune Store ตอบกลับมา หากถูกต้องก็จะได้รับคำยืนยันว่ามีการสั่งซื้อรายการนี้จริง และ server ของเราก็จะบันทึกข้อมูลการสั่งซื้อเอาไว้ และไปเพิ่มไอเท็มที่ผู้เล่นสั่งซื้อลงฐานข้อมูล ขั้นตอนนี้จะไม่มีใครสร้าง server มาหลอก client ของเราว่าเป็น server ตัวจริงได้ เพราะ server ของเราจะเก็บข้อมูลปัจจุบันของผู้เล่นเอาไว้เองด้วย และข้อมูลผู้เล่นตรงนี้จะไม่สามารถถูกแก้ไขค่าได้หากผู้เล่นไม่ได้ผ่านการกดซื้อ IAP มาจริงๆ (คือต่อให้ตั้ง server หลอกมา สุดท้ายเวลาผู้เล่นคนอื่นเข้ามาเล่นก็เห็นข้อมูลที่แท้จริงของคนๆ นี้ที่ server เราซึ่งไม่ได้ผ่านการโกงมาอยู่ดี)
3.6 ส่งข้อมูลผู้เล่นหลังการสั่งซื้อกลับ Client (เช่นเพิ่มจำนวนไอเท็มที่สั่งซื้อมากลับไปยัง Client)

เท่านี้ก็จะสามารถป้องกันการ Hack IAP ได้อย่างสมบูรณ์ ซึ่งหากคุณใช้ Unity ผมแนะนำ Plugin ที่ชื่อว่า  Soomla (ที่ผมยืมรูปมาใช้ในบทความนี้นี่แหละ) เพราะมันฟรีและใช้ได้ทั้ง Google Play, Amazon Store, App Store ครบถ้วนเลยทีเดียว สำหรับครั้งหน้าผมจะมาลงรายละเอียดการยืนยัน Transaction การสั่งซื้อของทั้ง App Store และ Google Play นะครับ