Julien Stuyck and the Canadian VP of Appsstuyck@gmail.com

While42 London – Mars 2015

Agenda Jeux mobiles et monétisation MitmProxy Écoute Injection What else ?

Jeux Mobiles- Progression lente.

- Timer sur les actions du joueur.- Temps de recharge.

- Monnaie virtuelle ( Achetable )- Aller plus vite.- Obtenir des « power items ».- Obtenir des items exclusifs.

Jeux Mobiles Dépenser pour augmenter le fun.

Jeux Mobile Get Moar $$$$$ with !!!

Tapped out Objectif du jeu

Construire sa ville. Quelques quêtes. Obtenir de nouveaux personnages.

Problème ?175 Donnuts = 5.3 pounds

Problème ?

Solution ? Man in the Middle : Mitmproxy

An interactive console program that allows traffic flows to be intercepted, inspected, modified and replayed.

Analyser le traffic entre le jeu et le serveur.

MitmProxy - Fonctionnement

Regular (the default) Simule un proxy.

Transparent Se pose comme Gateway d’un réseau.○ ( Evil Mode ) Arp spoofing

Reverse Proxy Upstream Proxy

MitmProxy - Ecoute

MitmProxy - Ecoute

MitmProxy - Injecter

MitmProxy - Profit 4194303 donnuts soit £139,792.62

Quoi? Le client ne vérifie pas ce qu’il reçoit. Le client ne demande pas au serveur de

valider/vérifier les transactions.

Solutions : Signer, Hasher, Saler.

Autre jeux vulnérables Tiny Tower

Modification des quêtes qui sont téléchargés lors du premier lancement du jeu.

Zombi café Injection d’un Epoch time modifié pour finir

les quêtes plus vite Modification des rewards des vidéos

publicitaires.

Encore une chose Affaire Lenovo Superfish. Marche aussi sur les jeux Facebook. Remplace le konami code.

South park Episode : Freemium Isn't Free