Menú principal

martes, 26 de marzo de 2013

Cambiar las puntuaciones de Game Center con trampas

Muchos usuarios en Game Center aparecen con puntuaciones imposibles - al menos jugando a muchos de los juegos - donde el valor más grande que aparece es el 9.223.372.036.844.775.807, que corresponde con el valor máximo posible para un entero sin signo. Esto se hace por medio de una manipulación en el cliente de las peticiones, ya que es el propio juego el que envía este valor al panel de control de puntuaciones.

En HackPlayers han hecho la demostración con el juego Cut The Rope, y para ello es tan sencillo como instalar el certificado utilizado por la aplicación proxy de auditoria que utilices - en su caso lo hacen con Burp Proxy, por lo que tienen que instalar el certificado de PortSwigger - y modificar la petición que envía el juego al terminar la partida. La petición de Cut The Rope es la siguiente:

POST /WebObjects/GKGameStatsService.woa/wa/submitScores HTTP/1.1
Host: service.gc.apple.com
User-Agent: gamed/4.10.17.1.6.13.5.2.1 (iPhone4,1; 6.1.2; 10B146; GameKit-781.18)
Accept-Language: en-us
Accept-Encoding: gzip, deflate
Accept: */*
Some-Cookies: have been removed to make this shorter
Content-Type: application/x-apple-plist
Connection: keep-alive
Proxy-Connection: keep-alive
x-gk-bundle-version: 2.1
Content-Length: 473
x-gk-bundle-id: com.chillingo.cuttherope

<?xml version=”1.0″ encoding=”UTF-8″?>
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/DTDs/PropertyList-1.0.dtd”>
<plist version=”1.0″>
<dict>

<key>scores</key>
<array>
<dict>
<key>category</key>
<string>1432673794</string>
<key>context</key>
<integer>0</integer>
<key>score-value</key>
<integer>12345</integer>

<key>timestamp</key>
<integer>1361998342937</integer>
</dict>
</array>

</dict>
</plist>
Como se puede ver, hay que modificar el valor score-value, y lo que se obtendrá en el Game Center es lo que nos muestran en la siguiente captura.

Figura 1: Modificación de la puntuación en Cut The Rope

Un truco sencillo basado en un esquema de man in the middle que sin duda utilizan los cheaters para pelearse o para amañar concursos que se hagan en base a puntuaciones del Game Center. Tenedlo en cuenta.

4 comentarios:

  1. You should cite your sources - https://www.netspi.com/blog/2013/03/18/hacking-high-scores-in-ios-gamecenter/

    ResponderEliminar
    Respuestas
    1. @Karl, we use Hackplayers as a source. Talk to them if they used you as a source. We don´t copy a word from you. Cheers!

      Eliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares