Help us understand the problem. What is going on with this article?

Unityのモバイルゲーム向けセキュリティ関連覚書

免責事項

この記事に記載されている内容を、実際に試して発生した損害に対していかなる責任も負いません(補償しません)。
すべて自己責任のもとで行ってください。

リリースされているアプリやゲーム、ソフトウェア利用許諾契約(EULA)やアプリケーション利用規約などでリバースエンジニアリングは禁止されています。
実際に試す場合は、自分で開発しているアプリやゲームや脆弱性確認用でリリースされているアプリやゲームを使いましょう。

はじめに

ハック(攻撃)と対策(防御)は表裏一体です。どのようなハックが行われるのかを知らないと対策は行えません。
ハックする側の方が、時間や対応者の人数など基本有利です。
日々新たな問題が発生しています。最新の情報を常に確認する必要があります。

リンクは、すべて目は通していますが、すべてを試しているわけではありません。
上手くいかない、よくわからないなどはキーワードをピックアップして検索してみると良いでしょう。

追記
Unityのモバイルゲーム向けクラッキングが行われるポイントを整理してみた」として対応する場所ををまとめてみました。

Unity

手法解説

リバースエンジニアリング

AssetBundle

標準で暗号化されていない。
ネットワーク経由でダウンロードされたり、ストレージに保存されているデータを取り出し。
ツールを使って内容を確認できる。

通信

対策

実装

独自対応

CrackProof

DxShield

クライアント(端末)

リバースエンジニアリング

総合

いろいろな手法がまとめられています。

メモリ改ざん

再パッケージ

Android
iOS

実端末チェック

Android

iOS

エミューレータ

Android

ネットワーク

物理

テスト環境作成

マックを使えばあまり難しいことを考えずに設定できます。

ルーター化

Wifi+Lanの構成でルーター構築可能です。
macで通信内容の解析ツールを動かすして確認しやすいです。
macにLanポート2つにしてLan+Lanでも構成できます。

帯域制限
攻撃(解析)
htttps(http)

mitmproxyがそこそこ使いやすいです。

すべてのプロトコル

https以外もみたい場合は、tcpdumpやWiresharkなどを使用しましょう。

TLS(SSL)

HTTPSトラフィックを復号化する3つの方法の概要
- PFSなTLS通信を復号する
- joernheissler/SslMasterKey: Retrieve the Master Key and Client Random from an ssl.SSLSocket
- SSLKEYLOGFILE - Everything curl

環境設定
Android
iOS
生成
一般的なプロトコル生成

httpやhttpsなどを生成できます。

パケット生成

パケットを自由に生成できます。

位置情報

Android

デベロッパー機能で位置偽造ができます。

APIでmock locationが使用されているかのチェックはできます。

iOS

デベロッパーモードにしてツールを使用すると位置情報が偽造できます。

サーバ

SMS認証

s_ryuuki
最近はスマホゲーム屋さん。 クライアントプログラマー、マネジメント、人材育成あたりのお仕事をしている。
http://www.iwiz.jp/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした