黒翼猫のコンピュータ日記 2nd Edition

起動時の最初のアクセス

SSL-URL *******.magi-reco.com/magica/index.html

POSTDATA: accept-encoding: gzip USER-ID-FBA9X88MAE: **************-****-****-****-*********

 ( ﾟω ﾟ) ・・・ (つω⊂)ｺﾞｼｺﾞｼ (； ﾟω ﾟ) ・・・ (つд⊂)ｺﾞｼｺﾞｼｺﾞｼ _, ._ （； ﾟω ﾟ） …！？

確認のため、私のスマートフォンのフォルダ見てみましょう


|｡･ω･) 。o ( f4samurai の昔ながらのざる認証の方法そのままなどころか、オルサガの処理変数名も変えずにそのまま流用してるじゃねーか！ )

SSLで暗号化すれば、アニプレックスさんにも、ユーザーにもばれないと思った？
残念でした！

ためしに、マギレコの保存ファイル
shared_prefs/Cocos2dxPrefsFile.xml
にアクセスしてみました

<?xml version='1.0' encoding='utf-8' standalone='yes' ?> <map>     <int name="KEY_DOWNLOAD_VOICE" value="1" />     <int name="KEY_DOWNLOAD_MOVIE" value="2" />     <int name="KEY_BOOT_COUNT" value="17" />     <string name="KEY_ENTRY_QUEST_ID"></string>     <boolean name="KEY_NOTI_PNOTE_CONF" value="true" />     <string name="USER-ID-FBA9X88MAE">*******-****-****-****-***********</string>     <string name="KEY_NOTI_ALARM_STORED_DATA">略</string> </map>

駄目です！腐ってます！

待て待て、まだ、認証方式がいっしょだと判明したわけじゃない！

{"resultCode":"error","title":"認証エラー","errorTxt":"認証に失敗しました"}

普通に接続するとこう

とりあえず、適当なUserIDを偽装してFirefoxで接続してみよう！

お知らせページは表示できる！

では個人ページ…

{"currentTime":"2017/08/26 11:18:11","resourceUpdated":false,"interrupt":{"page":"#/TopPage","force":true},"forceClearCache":false}

中断された！？

だ、大丈夫っぽい？ ・ω・
　　：
ごにょごにょ
　　：

だめ、アカウント乗っ取りできたｗｗｗｗｗｗｗ

ユーザーID 16バイトでパスワード無いわけですから、ブルートフォース攻撃でアカウント取得できたらのっとるって方法できるのでは…？
と考えたのですが、100万人のユーザーが居るとして、1秒間に1000回総当り攻撃したら有為なアカウントを取得できるのに平均300年かかるので無理ですねｗ


さっきの noah Passなんですが、guid がこの端末固有コードになっています。
どういうことか、ゲームと関係ないSEGAのサーバーに、ユーザーIDとパスワード丸ごと送ってるようなもんです。
やっぱり、 f4samurai 腐ってますね・ω・っていうか、頭悪いのではｗｗｗ

＃ってことは、アンジュ・ヴィエルジュ ～ガールズバトルもオルタンシア・サーガ - 蒼の騎士団もボーダーブレイク mobile -疾風のガンフロント- も、オファーシステムあったから、外部サーバーに認証データごと送信してるのかよｗ！


でも、物理的に、端末ハッキングするか、マルウェアに感染させて、固有ファイル入手すれば簡単に乗っ取ることができます！！ゲームサーバーのDBの内容が万が一漏洩した場合、やPoodleみたいな脆弱性がSSLにまた見つかった場合、大惨事ですね！！
後、広告システムの NOAH PASSで端末固有コード流してるわけですから、
何らかの原因でSEGA（NOAH PASS）のDBの内容が漏洩したりしてもユーザーのアカウントはピンチ！


セキュリティホールだらけの、オルタンシア・サーガ-蒼の騎士団- のざる認証をそのまま変数名すら変えずに流用するって、どこまで開発費削るんです？
これ、アニプレックスさんに対する背任行為なんではないですか～？


金 哲碩 (F4samurai CEO) プロフィール - Wantedly

言語     韓国語(日常会話レベル) 受賞歴     オルタンシア・サーガ ‐蒼の騎士団‐ ：「googleが選ぶ2015年のベストゲーム」    2015     alarm everyone：Mashup Awards7 優秀賞、Graphhakアワード 受賞    2011

あー、f4samurai の CEO の金 さん 韓国系の人だからセキュリティがばがばでも気にしないし、ユーザーのこと考えないプログラム開発やっちゃう訳ですね ・ω・ なんか腑に落ちたよ

なんか、こうなると、ガチャとかの確率とかも、
実際とは違う値にいじってそうですね～（ただの言いがかりですが）

自分の利益に直接つながる広告システムの認証はちゃんとセキュリティ担保できてるのに、ユーザー認証完全に手抜きとか、この企業の本心がみえみえですね～(棒）

ユーザーさんもアニプレックスさんも、なんか、行動起こしたほうがいいのでは～？

大体解析できたので、今回で「マギアレコード 魔法少女まどか☆マギカ外伝」の解析は終わりです


次回は、攻略サイトに書いてる役に立たない、リセマラ方法ではなく、
実用的な方法を紹介して締めることにします ・ω・



マギレコで使われてる f4samurai さんの腐った認証システムの問題点まとめ

・ マギアレコードは認証と呼べるシステムがない。固有IDをアプリ新規インストール時に発行して、ずっとそれを使いまわす（端末移行しても固定で変わらない）
・この固有IDのシステムは『オルタンシア・サーガ - 蒼の騎士団』の完全転用で変数名まで同じ
・このゴミみたいな認証システムは  f4samurai さんの作ったーゲームで3年以上改良されることもなく使い続けられてきた腐った技術。
・この固有IDがあれば、移行用IDとパスワードがなくても乗っ取り可能。
・固有IDは端末に生のテキストで保存されている
・そのまま、ユーザー認証に使える固有IDをゲームと関係ない外部のサーバーに生で送信している（送信自体はSSLで保護）。
・f4samuari さんの利益に直接関わる マギレコの広告収入用の認証システムはちゃんとOAUTH認証になっている