お金のために広告を見るためにモバイルアプリケーションでお金を稼ぐことは現実的ですか？

記事はリストのアプリケーションの1つの分析です。 この記事は、アプリケーションで脆弱性が検出された直後に書かれました。 開発者はレポートを受け取り、問題の存在を確認し、すぐに修正することを約束しました。 現時点では、両方のプラットフォームでアプリケーションの更新がリリースされています。



AppNana（AppJoy）は、iOSおよびAndroidのアプリケーションストアからSMSなしで無料で有料アプリケーションをダウンロードする機会を提供するため、数年にわたって人気の波に乗っています。 キャッチは何ですか、あなたは尋ねますか？ 落とし穴はどこに隠されていますか？ すべてが非常に簡単です：広告を見て、直接リンクを介して左利きの未署名のアプリケーションをインストールし、携帯電話用の半ダースの広告アグリゲーターと個人情報を共有し、AppNanaがアクセスできるすべての情報（個人を含む）メール）。



すべてが明らかなようです。 無料のチーズはネズミ捕りの中だけにあり、料金もあり、報酬に見合ったものではありません。 具体的には、「引き出し」の最低額は45,000ナナ（国内通貨、45,000ナナ= 2ドル）で、資本金は10,400で、毎日アクティブなユーザーは400ナナを受け取ります（前日に何らかの方法で4,000ナナを収集できた場合） 、1つの「タスク」が20（ほとんど）から450 nanas（そのようなタスクは1つしかありません）で支払われ、ユーザーは紹介を通じて最大量のnanasを受け取ります（招待者と招待者に2 500 nanas）。



今、それはより明確になっています。 アプリケーション自体は、SMSなしでウイルス対策ソフトウェアを無料でダウンロードするためのわずかなボーナスではなく、全員を招待するために使用されます。 すべてのユーザー（Google Playメトリックで500,000〜1,000,000）は、複数のアカウントを作成し、自分自身に招待状を送信するだけです。 それほど単純ではありませんが、Max Guan（サンフランシスコ在住の中国人開発者）はこれを事前に考えていました。 2,500ナナをもたらす紹介コードを使用するには、最初に15,000ナナを獲得する必要があります。これはそれ自体が偉業です。



さて、「合法的な」収益方法はそのままにしておきましょう。 反対側から試してみましょう。 Fiddler2とAndroidのプロキシをインストールします。 AppNanaのプロキシを構成し、リクエストを確認します。 そして、彼らは非常に興味深いことが判明しました。 たとえば、これは：

appnana2.mapiz.com/api/nanaer_login email = someone％40example.com＆password = 1234567890＆source = Android＆android_id = abcへのPOST

SUCCESSが再び表示され、セッションID付きのCookieが提供されます。 すべてが正しいようです？ しかし、このスクリプトだけではリクエストの数を制限しません。 ブルートフォース提供。 残念ながら、すべての電子メールとパスワードの組み合わせをチェックすると、サーバーは単純に落ちます。 android_idがスペース文字の場合、500エラーで落ちる可能性があることがわかりますが...

メール選択の問題を解決してみましょう。 これを行うには、次のクエリが必要です。



GET appnana2.mapiz.com/api/get_nanaer_info/?email=someone%40example.com



応答として、input_invitation（受け入れた紹介の数）b paypal_email（PayPalにお金を引き出すときにAppNanaが受け取ります）、redeem_times（報酬を受け取った回数）、login_times（入力が行われた回数）、bitcoin_address（BitCoinへの出力に使用）を含む完全なリストを受け取りますoffer_nanas（「獲得した」nanasの数）、register_ip（登録中に使用されるIP）、デバイス（ログインが行われたすべてのデバイスのリスト、およびMACアドレスとios識別子）、電子メール（登録中に使用されるアドレス）、lastlogin_ip（最後IP）、nanas（口座残高）、sent_invitation（数量 「紹介」によって送信された招待状、gift_email（ギフトコードを送信するための追加アドレス）。 そして、いくつかの関連のないフィールド。



何がありますか？ すべてのユーザーデータを承認なしで発行するAPI。 彼はどのように私たちを助けますか？ AppNanaのハッキングをグーグルで検索するだけで十分です。紹介を通じて可能な限り多くのnanoを収集しようとしている人々のほぼ完全なリストをすぐに取得します。 ブログエントリには15,000個のコメントがあり、各コメントには紹介コードが含まれています。ブログはBloggerで実行されているため、ほぼ全員がGoogleアカウントに関連付けられています。 Googleの発行を解析し、紹介コードへのすべての参照（1文字、8桁）を見つけ、次にGoogleプロフィールへのリンクまたは通信用のメールを探します。 数時間のうちに、このようなパーサーは、上記のスクリプトに対するブルートフォース攻撃用の高品質の辞書を作成できるようになります。



現在、個人アカウントのバランスを持つ数百または数千のユーザーのデータベースがあります。 何ができますか？ それだけです 絶対にすべて。 これは不可能だと言うでしょうが、私はまだすべてのカードを明らかにしていません！ 次に、さらに2つのAPIが必要です。



appnana2.mapiz.com/api/invite_verifyへのPOST

appnana2.mapiz.com/api/redeemへのPOST



まず、紹介コードを有効にし、2,500ナナをアカウントに請求します。 第二に、BitcoinまたはPayPalでnanasを表示します。 どちらも許可なく機能します。



まず、アカウントに15,000を超えるnanasを持つアカウントのペアを作成します。 次に、アカウントにリンクされている紹介コードを取得し、すべてのアカウントに対してキャッシュアウトします。 すべての準備ができたら、1000個のコードと関連付けられたアカウントで、999,000個の有効なリンクを取得できると想定できます。 多くの人が紹介報酬を受け取るために他の人のコードを積極的に使用していることを考えると、接続の25％がすでに使用されていると想定できます。 各リンクは、システムに5,000ナナをもたらします。 利用可能なすべての紹介コードをキャッシュアウトすることで（750,000件のリクエスト）、システム全体に37億5,000ナノを分配します。



最も高価な報酬（100ドルのPayPalで1,200,000ナノ）を受け取った場合、312,500ドルを生成します。または、匿名性を希望し、支払わない場合は、ビットコインですべてのお金を引き出すことができます。その結果、ビットコインで267.857ドルが得られます変換日。 これは、すでに利用可能なユーザー残高を考慮していません。 必要なのは、Redeem APIを使用してPayPalアカウントまたはビットコインウォレットに送金することだけです。



もちろん、それらのサポート（LinkedInプロフィールからの情報）の責任者でもある開発者が1人いるスタートアップがPayPalアカウントまたは312,500ドルのビットコインウォレットを持っていることはまずありませんが、プロセス全体が自動化され、強い疑念が生じない場合は、簡単にまとめて引き出すことができます。



最も興味深いのは、これがサービスの公募の直接的な違反ではないことです。 ユーザーの個人情報の収集と保存を禁止する条項8aが含まれていますが、その分析は、その後の保存はおそらく許可されず、個人情報を無視して、ユーザー名、口座残高、紹介コードのみを保存することもできます。 条項8kは、無効にすることを含め、保護システムへの干渉を禁止しています。この場合、保護システム自体はありません。つまり、許可なくAPIを使用する場合、この点に違反しません。 ポイント8rは最も広範囲です。 自動ソフトウェアを使用して、保護システムおよび/またはrobots.txtファイル（どちらもありません）をバイパスしてサービスにアクセスし、AppNanaインフラストラクチャへの不正アクセスのためにソフトウェアの変更バージョンを変更および使用することを禁止します。 ここでは、よりシンプルであり、ソフトウェアの変更は不要であり、APIリクエストはrobots.txtファイルによって閉じられません。



150万人以上のナナを持つアカウントから90,000ナナを引き出しました。 次に、トランザクションをキャンセルしてユーザーに資金を返還するか、少なくともトランザクションが既に完了している場合はユーザーに資金を返還するように求めるテクニカルサポートレターを送信しました。 翌朝、私はマックス自身（会社の所有者）から、彼が既に知っている（！）問題についての回答を受け取りました。 興味深いことに、このAPIは少なくとも2013年5月から稼働しています。 100万人までのアプリケーションで。 広告収入はすべての費用をカバーする必要がありますが、すべての穴を塞ぐプログラマーには十分です。



幸いなことに、または残念なことに、これは、明確な脆弱性を含んだGoogle Playトップからインストールした20の唯一のアプリケーションです。 インストールされたアプリケーションのほぼ半分は、1つの「エンジン」で構築されました。 リクエストはそれぞれカーボンコピーのようなもので、それぞれセッションキーによって保護されており、わずかな介入で再認証が必要でした。 いくつかのアプリケーションは、表示用の広告をダウンロードできませんでした。 もう1つは、明らかに、残高がSharedPrefrencesに保持されていて、広告主のリストを取得するためだけにリクエストが送信されたため、お金を支払うつもりはありませんでした。