App beveiligen tegen jailbreak (m.a.w. onrechtmatig app installatie)
 

Beste gebruikers,

Ik zit met een vraag, die ik (nog) niet beantwoord heb gekregen?
Bij het ontwikkelen van een applicatie voor iOS devices krijg je als developer te maken met jailbroken iOS devices die onrechtmatig applicaties van de ontwikkelaar installeren zonder daarvoor betaald te hebben.

Sinds iOS 5 is het verboden om de UDID mee sturen naar een eigen server.
Vroeger kon je d.m.v. het UDID controleren of de app gekocht was door het de appleid.
Maar dat is nu niet meer toegestaan.

Mij vraag is dus, hoe dit probleem nu op te lossen.

Als developer kan je veel geld mislopen door cracked apps.
Terwijl dat je veel tijd en moeite in de app hebt gestoken...

Deel je ervaring hier in dit onderwerp.

Hoe deed je dat dan?

Terug in de 2.x tijd was Ripdev er nog, en zij hadden een service genaamd Kali, anti Crack software. Alhoewel het team Ripdev uit elkaar gevallen is, is de founder nog steeds actief. Als je twitter hebt, zou ik @slavikus een tweet sturen, met je probleem, en vriendenlijk verzoek om kali open te stellen. Binnen unrealmojo ( Waar slava nu eigenaar van is ) word kali nog veel gebruikt. Als je geen twiter hebt kan je hem altijd emailen : slavikus@gmail.com .

Kaliap.com zegt :

" Kali Anti-Piracy is a service for developers to protect their applications for the iPhone distributed through the App Store from being pirated. As you may or may not know, the piracy rates are quite high, and Kali AP prevents the software titles from being stolen. Click here for more information on the pricing, or create an account and login below (only useful if you're a developer). "


- Sam

Er is ook Cocoanetics | AntiCrack

Ik zal proberen contact met hem opnemen via email.
Bij twitter is het zo dat je alleen DM's kan versturen naar personen die jouw ook followen. Bedankt voor ervaring... :)

Ik zal ook kijken naar deze oplossing.

Ik zoek een oplossing voor de apps die draaien op iOS5.
Maar ik zal deze 2 zeker onderzoeken naar de bruikbaarheid in combinatie met iOS5.

Bedankt voor deze!
Ik hoop dat we er samen uitkomen.
Ik denk en vermoed namelijk dat er meer ontwikkelaars zijn die hun apps 'hack-proof' maken.

Kan je niet anders de in-app functie gebruiken? Dat is volgens mij niet te jailbreaken. Mensen downloaden dan een soort van demo en kunnen via in-app purchasing de volledige app kopen.

Dit is heel goed bedacht.
Makkelijk te implenteren, alleen nadeel die eraan kleeft is: dat mensen vaak apps verwijderen als de structuur hen niet aanstaat. Men kijk vaak niet langer dan hun neus lang is. Hiermee bedoel ik, dat je nadrukkelijk moet benadrukken dat zij een app-in aankoop moet vervullen om over de volledige versie te beschikken.

Maar het bovenstaande wat je schreef is inderdaad een mooie oplossing.

Helaas pindakaas. De code voor de volledige versie moet al in de app zitten, want je kunt (en mag) geen code naderhand downloaden. Het uitschakelen van de In-App Purchase checks is vrij eenvoudig (er zijn blijkbaar al automatische tools voor), en het unlocken van deze volledige functionaliteit is dan een fluitje van een cent. Zelfs als je de IAP receipt valideert op een server is het nog mogelijk om dit te omzeilen, want alle "geheimen" zitten in de app, en een cracker met wat vrije tijd kan dit zonder al te veel moeite ontcijferen.

het ligt natuurlijk ook een beetje aan het soort app. Als je app vertrouwt op een backend server voor de betaalde diensten, dan kun je server-side de receipts checken, en dan de requests van een bepaald device blokkeren als deze geen geldig receipt heeft.
Wat ze dan nog kunnen doen is een receipt van een geldige aankoop meesturen met elke gekraakte app, maar als je 20000 requests krijgt met dezelfde receipt, dan blokkeer je die gewoon.

Ook (heel veel) dlc/in-app purchases kunnen via een cydia app "aangekocht" worden.

Downloadable Content wel inderdaad. Maar als jij een server gebruikt die bijvoorbeeld een mailtje stuurt als je op een knop in de app drukt, dan kan je serverside checken of dat device gauthoriseerd is.
Alles wat op het device gebeurt is in principe gewoon onveilig, dat kan allemaal gekraakt worden.

Je moet je ook afvragen of je deze moeite wil doen om de wereld te verbeteren (door de illegale downloaders een beetje dwars te zitten) of om zelf meer te verdienen (want dat zal waarschijnlijk niet gebeuren). Hoezeer het je ook tegen de borst stuit: Elke hoeveelheid moeite of geld die je stopt in het moeilijker kopieerbaar maken van je app voegt geen waarde toe aan je app voor legitieme gebruikers, dus je kunt die moeite beter stoppen in het toevoegen van features die maken dat meer mensen je app willen kopen. Bovendien kosten illegale kopieen je niks, tenzij je app op een of andere manier met jouw server communiceert en je moet betalen voor de bandbreedte (of iets dergelijks).

Zuur, maar waar.

Natuurlijk kosten illegale downloads je wel degelijk wat. Namelijk exact hetzelfde als legale downloads: bloed, zweet, tranen, geld en dus tijd. Ben met je eens dat er niet tegenop te boksen valt. De enige die vermogend genoeg is om dit een halt toe te roepen is Apple zelf: span eens een rechtszaak aan, en dan gaan we kijken wie er wint. De situatie is naar mijn idee vergelijkbaar met het 'downloadverbod'. Daar is de muziekindustrie ook aan de winnende hand: Brein dreigt individuele uploaders aan te pakken | nu.nl/internet | Het laatste nieuws het eerst op nu.nl. De reden dat Apple dit niet doet is denk ik de haat die ze dan over zich heen krijgen van de jailbreak-community, en natuurlijk zullen de kosten voor zulke rechtszaken hoog zijn. Voorlopig houden we het idd wel op tijd steken in updates, ipv 'cracks' voorkomen ;)

Apple valt niks te verwijten. Zij encrypten de applicaties al om piraterij tegen te gaan. Helaas is dat nu gekraakt. Maar het weerhoudt nog steeds een grote meerderheid van mensen ervan om gewoon hun apps te kopieren naar iemand anders.

En dat is een beetje het punt. Alles is te kraken, dus wat voor beveiliging jij ook inbouwt in je app, het valt te omzeilen. Je kunt het alleen moeilijker maken. Waarmee je de beginende cracker al afschrikt.
Ook is het een kwestie van wat voor soort gebruikers je hebt. Heb je miljoenen gebruikers, van jouw nieuwe game, wat een superhit is. Dan is de kans groot dat iemand er tijd in gaat steken om het te kraken. Maar heb je bijvoorbeeld een app voor, ik noem maar wat, piloten waar een kleine groep gebruikers vaak mee werkt. Dan is die kans al wat minder.

En stel je bent van mening dat je toch extra moet beveiligen, wat doe je dan als het uiteindelijk gekraakt is? nieuwe beveiliiging maken?