Menú principal

martes, 26 de marzo de 2013

Cambiar las puntuaciones de Game Center con trampas

Muchos usuarios en Game Center aparecen con puntuaciones imposibles - al menos jugando a muchos de los juegos - donde el valor más grande que aparece es el 9.223.372.036.844.775.807, que corresponde con el valor máximo posible para un entero sin signo. Esto se hace por medio de una manipulación en el cliente de las peticiones, ya que es el propio juego el que envía este valor al panel de control de puntuaciones.

En HackPlayers han hecho la demostración con el juego Cut The Rope, y para ello es tan sencillo como instalar el certificado utilizado por la aplicación proxy de auditoria que utilices - en su caso lo hacen con Burp Proxy, por lo que tienen que instalar el certificado de PortSwigger - y modificar la petición que envía el juego al terminar la partida. La petición de Cut The Rope es la siguiente:

POST /WebObjects/GKGameStatsService.woa/wa/submitScores HTTP/1.1
Host: service.gc.apple.com
User-Agent: gamed/4.10.17.1.6.13.5.2.1 (iPhone4,1; 6.1.2; 10B146; GameKit-781.18)
Accept-Language: en-us
Accept-Encoding: gzip, deflate
Accept: */*
Some-Cookies: have been removed to make this shorter
Content-Type: application/x-apple-plist
Connection: keep-alive
Proxy-Connection: keep-alive
x-gk-bundle-version: 2.1
Content-Length: 473
x-gk-bundle-id: com.chillingo.cuttherope

<?xml version=”1.0″ encoding=”UTF-8″?>
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/DTDs/PropertyList-1.0.dtd”>
<plist version=”1.0″>
<dict>

<key>scores</key>
<array>
<dict>
<key>category</key>
<string>1432673794</string>
<key>context</key>
<integer>0</integer>
<key>score-value</key>
<integer>12345</integer>

<key>timestamp</key>
<integer>1361998342937</integer>
</dict>
</array>

</dict>
</plist>
Como se puede ver, hay que modificar el valor score-value, y lo que se obtendrá en el Game Center es lo que nos muestran en la siguiente captura.

Figura 1: Modificación de la puntuación en Cut The Rope

Un truco sencillo basado en un esquema de man in the middle que sin duda utilizan los cheaters para pelearse o para amañar concursos que se hagan en base a puntuaciones del Game Center. Tenedlo en cuenta.

2 comentarios:

  1. You should cite your sources - https://www.netspi.com/blog/2013/03/18/hacking-high-scores-in-ios-gamecenter/

    ResponderEliminar
    Respuestas
    1. @Karl, we use Hackplayers as a source. Talk to them if they used you as a source. We don´t copy a word from you. Cheers!

      Eliminar

Entrada destacada

En el futuro iPhone podrá recopilar biometría y fotos de los ladrones

Apple ha obtenido una patente el pasado jueves en la que se describe un método de almacenamiento de datos biométricos de un usuario no...

Otras historias relacionadas

Entradas populares