Muchos usuarios en Game Center aparecen con puntuaciones imposibles - al menos jugando a muchos de los juegos - donde el valor más grande que aparece es el 9.223.372.036.844.775.807, que corresponde con el valor máximo posible para un entero sin signo. Esto se hace por medio de una manipulación en el cliente de las peticiones, ya que es el propio juego el que envía este valor al panel de control de puntuaciones.
En HackPlayers han hecho la demostración con el juego Cut The Rope, y para ello es tan sencillo como instalar el certificado utilizado por la aplicación proxy de auditoria que utilices - en su caso lo hacen con Burp Proxy, por lo que tienen que instalar el certificado de PortSwigger - y modificar la petición que envía el juego al terminar la partida. La petición de Cut The Rope es la siguiente:
POST /WebObjects/GKGameStatsService.woa/wa/submitScores HTTP/1.1
Host: service.gc.apple.com
User-Agent: gamed/4.10.17.1.6.13.5.2.1 (iPhone4,1; 6.1.2; 10B146; GameKit-781.18)
Accept-Language: en-us
Accept-Encoding: gzip, deflate
Accept: */*
Some-Cookies: have been removed to make this shorter
Content-Type: application/x-apple-plist
Connection: keep-alive
Proxy-Connection: keep-alive
x-gk-bundle-version: 2.1
Content-Length: 473
x-gk-bundle-id: com.chillingo.cuttherope
<?xml version=”1.0″ encoding=”UTF-8″?>
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/DTDs/PropertyList-1.0.dtd”>
<plist version=”1.0″>
<dict>
<key>scores</key>
<array>
<dict>
<key>category</key>
<string>1432673794</string>
<key>context</key>
<integer>0</integer>
<key>score-value</key>
<integer>12345</integer>
<key>timestamp</key>
<integer>1361998342937</integer>
</dict>
</array>
</dict>
</plist>
Como se puede ver, hay que modificar el valor score-value, y lo que se obtendrá en el Game Center es lo que nos muestran en la siguiente captura.
Un truco sencillo basado en un esquema de man in the middle que sin duda utilizan los cheaters para pelearse o para amañar concursos que se hagan en base a puntuaciones del Game Center. Tenedlo en cuenta.
You should cite your sources - https://www.netspi.com/blog/2013/03/18/hacking-high-scores-in-ios-gamecenter/
ResponderEliminar@Karl, we use Hackplayers as a source. Talk to them if they used you as a source. We don´t copy a word from you. Cheers!
EliminarVery detailed instructions
ResponderEliminarThanks for your information
ResponderEliminar