Top / メモ / 紀伊國屋書店の電子書籍ぱくられた事件

紀伊國屋書店の電子書籍ぱくられた事件

一部報道によると、iPadを脱獄し、iAPFree等を使われたらしい。

これらは、いずれも脱獄しないとインストール出来ないツールで、iOSのアプリ内課金ダイアログを差し替えて、支払ったかのようにアプリに応答を返すもののようです。そして紀伊國屋書店のアプリが改造されていたという情報は今の所無いようです。

 

これから想像出来ることはアプリ内課金APIの戻り値をアプリ側において正当な応答か確認するすべがない(APIの脆弱性) か、確認を怠っていたという可能性です。

 

ここで電子書籍アプリが行うべき決済の正しいロジックを考えてみます。このような仕組みになっていれば、偽アプリや改造アプリであっても実際には決済システムとコンテンツサーバとのやり取りを仲介するだけになるので影響力を排除出来るはずです。

 

尚、私はiOSのアプリ内課金システムについて全く予備知識を持ち合わせていません。また事件が2012年8月~11月ということもあって、既に改善されている可能性も有りますのでそのつもりでお願いします。

6/7追記:2012年11月に対策されたようですので確認を怠っていた可能性が高そうですね。

事前に用意すべきモノ

ロジック

  1. アプリはコンテンツサーバに商品IDを伝え、決済ID(毎回生成される)を取得する
  2. アプリが、決済システムに以下の情報を送る
    アプリID
    商品ID
    金額
    決済ID
  3. 決済システムは送られた情報を元に決済を行い、正常に処理されたら入力された情報を署名して返す
  4. アプリはコンテンツサーバに決済システムからの応答を引き渡し、決済完了を伝える
  5. コンテンツサーバは該当コンテンツの使用許可をアプリに対して出す

参考

<電子書籍>無料で購入、容疑で男2人逮捕 不正アプリ使用