Google Play Store : un hack permet d'obtenir gratuitement les achats in-app

Il existe plusieurs modèles économiques pour les jeux mobiles et celui qui tend à se démocratiser est le free-to-play avec achats in-app, ou freemium. Le principe est simple, proposer une application gratuitement, avec des achats complémentaires permettant généralement d'accélérer la progression ou d'obtenir des objets inédits.

Sur Android néanmoins, une faille de sécurité semble mettre à mal ce système. Publié par SufficientlySecure, cet exploit bloque en fait la redirection de l'application vers le Google Play Store, où l'achat est censé s'effectuer et renvoie une valeur nulle, assimilée alors comme une validation. L'achat est donc comptabilisé, bien qu'aucun centime n'ait été déboursé.

Cette faille touche toutes les applications utilisant les librairies de Google concernant la facturation in-app précédant la version du 8 octobre. Aussi, de nombreuses applications sont touchées, mais pas toutes.

L'exemple est donné avec Temple Run 2, le célèbre runner-game, victime de ce trou béant de sécurité qui permet d'obtenir pièces et gemmes à gogo sans le moindre frais. Bien sûr, de nombreux titres ont déjà corrigé le tir, comme c'est le cas d'Angry Birds Star Wars 2 ou Plants vs Zombies 2 pour ne citer que ceux que nous avons essayés.

Développeurs d'applications, pensez donc à mettre à jour vos créations, avec par exemple le correctif proposé par SufficientlySecure.

Dans un souci de déontologie, l'application en question ne sera pas partagée ici et tout lien pointant vers celle-ci dans les commentaires sera immédiatement supprimé.