talk/small-talk

구글 결제 시스템의 헛점을 이용한 프리덤(Freedom) 이야기

티니 2013. 5. 20. 11:34

프리덤 어플 관련 이야기를 좀 적어볼까 합니다.. 

사실 이 어플 자체는 이미 꽤 오래전부터 알만한 사람들은 알고 있던, 난감한 어플리케이션이죠.. (...) 


설명을 돕기 위해, 링크를 올려드립니다. - http://iokal.egloos.com/v/1065246


결제시스템의 허점을 노려 가상의 카드로 결제를 한것과 동일한 결과값을 구글 결제 서버로부터 받아온 뒤, 

앱에서는 구매한 것과 같은 효과를 누리게 해준다는 이야기입니다. 


비슷한 방식으로 결제크랙이라고 하는, 결제를 취소했을때 앱에 결제를 한것으로 착각하게 하는 패치를 통한 결제시스템 무력화 방식이 있습니다. 


싱글플레이 패턴의 게임들에서는 잘 되지만(대표적으로 보여주는게 템플런이죠 예제로) 서버와의 지속적 연동을 하는 게임 시스템에서는 결제크랙은 일단 불가능하게 됩니다. 


만약에 프리덤 어플이 편하게 잘 됐다면, 드래곤 플라이트, 애니팡, 쿠키런을 비롯한 카카오톡 게임들부터 옆동네 퍼즐앤드래곤까지 위협받을 요소가 있습니다. 밀리언아서 역시 어느정도는 안정성이 보장될것이라고 보긴 합니다만... 


밀리언아서만의 알 수 없는 시스템..(IMEI값을 통한 MC복사문제 - 덕분에 로그아웃 앱을 막으려 시도) 등을 보면 과연 프리덤으로부터 안전할까..? 는 의문의 소지가 충분히 있긴 합니다. 하지만 아마 안전할 것이라고 봐야 하는게, 리미치 대란(일밀아에서 치아리 강적 이벤트 할때 리미치가 등장하는 코드를 강제적으로 생성해서 패킷 해킹을 해서 대량으로 만들었다고 주장하는 버그... 실제 있는지는 알 수 없는..)등은 있었지만 결제결과에서 문제가 생겼다는건 아직 딱히 듣지 못했기 때문이기도 합니다. 


거기다 최근에 구글 플레이스토어 업데이트 하면서 내부적 보안결함을 해소한 것으로도 보입니다. 인앱 관련 결제 부분이 조금 바뀐듯 하기도 하구요. 


여러모로 영 찝찝한 소리를 들은게 기분이 나쁘긴 하지만 딱히 크게 문제 없을거라고 보입니다. 적어도 이번 랭킹시즌 이전부터 부당하게 이득을 챙겼다면 그에 대한 처리를 해야 하는건 당연하고, 이건 단순한 액토즈의 문제가 아니라 구글의 문제기 때문입니다. 이런 상황이면 당연히 앱을 통한 부분결제를 하려고 하는 사람이 줄어들 수 밖에 없죠. 보안에서 꽤나 강력하다는 구글이 이런 취약점을 몇달씩 둔다는것도 아이러니라면 아이러니일것 같습니다. 



어제 확산성 밀리언 아서 관련 공짜MC드립이 나오길래 그냥저냥 적어보는 글, 막는자와 뚫는자의 대결은 여전하다. 그나저나 저 사이에서 피해는 과연 누가 보는걸까..? 결제를 하기 위해 이용한 사용자? 부분결제를 하게 한 앱의 개발자(개발사)? 아니면 구글...?

내가볼땐 구글... -_-;