本案件では、オンラインスマートフォンゲームをブラックボックステストにて診断しました。
ゲームサーバーとの通信はHTTPS通信を行っていましたが、リクエストボディ・レスポンスボディ共に暗号化されていたため、「Burp Suite」などのローカルプロキシツールを用いた通信傍受・改変が不可能な状態でした。
Fridaと呼ばれる、JavaScriptを用いてアプリケーションを調査・解析できる動的解析ツールを利用して、暗号化を施す関数を特定・フックし、暗号化される前の状態のリクエストボディを改変することに成功しました。
本来課金アイテムを消費してガチャを回す機能に対して、不正なペイロードをHTTPS通信にて送信することで、課金アイテムを不正に無限増殖することが可能でした。
診断レポートや脆弱性診断報告会にてクライアント様に、具体的な攻撃手法や対策方法に至るまで詳細にお伝えいたしました。課金アイテムの無限増殖という経済的な損失が発生する重大な脆弱性がリリース前に発見できたことで、クライアント様には満足していただきました。