大家好，小妹略懂寫黑窗 因為以前玩過ingress還有3DS的幾款寶可夢 覺得這遊戲還是正常玩比較有趣所以沒寫，而且也太多人寫了 看到查IV這幾個網站時一開始也有想用 但看到這些網站要拿你Google授權的Token時，小妹我就縮了 小妹我先來解釋一下要Token查IV的網站是怎麼查的 它先提供一個入口，假裝是Pokemon GO 透過oauth先轉到Google請你登入、Google就會給你「給Pokemon GO用的Token」 有了這個Token，Niantic的Server就可以去和Google確認你是這個Google帳號的持有者 而你把這個Token給PokeIV這種網站，Niantic的Server就會認為這些查IP網站是你 有了Token，下一步就是和Server問東西 但這個問東西的方式絕對不會是開一個真的Pokemon GO App然後幫你查資料 而是各位玩家透過反組反解錄來錄去之類各種方法，找出它的封包組成方式 只能說Pokemon Go這目標實在太大了，全世界的玩家都在關注它 目前Github上光解/建封包的套件，幾乎各種程式語言的專案都有 而當我們的程式能組成封包後，就能和Niantic的Server做「問」的動作(打API)了 但反過來說，能問IV，就能傳現在位置、就能丟球抓寶可夢、就能翻牌 對官方來說，上面任何一個假造封包的動作都和BOT/飛人一樣 如果那些玩家夠厲害的確是能組出「一模一樣」完全讓官方分不出來的封包和打法 認真一點的打API的間隔還會等個隨機間隔，正常App按照流程會打的API都造打一輪 但是，你根本不知道查IV網站們幫你做了哪些事... 可能它用正常Pokemon GO根本不會用的連線順序打API 可能它一次幫1000位玩家同時打API，打好打滿一次問完 可能它幫你查了，然後順便和Niantic的Server說我的位置在北極 可能它幫你把所有的寶可夢都改名你也無能為力 官方只要在偽造的封包/真的Poekmon GO的封包之間建立或是找到差異化 假若這類的網站/建立封包套件更新沒跟上時 就能輕易的把這些發送不正常封包的帳號全都BAN掉 或更單純點，有一個IP整天拿上萬個玩家的Token不間斷的打API問資料 這怎麼樣都很奇怪啊！ 現在要查100%正確的IV最安全的方式是透過Proxy側錄(畢竟你沒動手腳只是在旁邊看) 不過後來查一查發現官方在前幾個版本加了Certificate Pinning 要錄只能在JB/Root後動些手腳，讓App無條件信任你自己簽的憑證 不過小妹我怎麼會懂iPhone JB呢～當然沒有用囉，啾咪～ 而GO Radar之類的程式 就是用上面這種方法到處問哪邊有哪些寶可夢 之前聽說Android還iOS裝些插件也會幫忙傳資訊到GO Radar 但自從某天GO Radar一隻也沒顯示後，小妹我就覺得全都是用飛飛偵查隊掃出來的... 至於你要問，哪些是作弊哪些不是 當然全部都是啊，只是程度不同 (考試先拿到題目、從同學那知道題目、還是直接抄答案找槍手) 和官方查不查的出來而已 而把Token天真地給PokeIV這種網站的人只能說被查到剛好 勸大家，要嘛自己寫，要嘛不要用，千千萬萬不要用大家都在用的 真的用了，也只能祈禱Niantic官方大發慈悲了... -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.115.235.178 ※ 文章網址: https://www.ptt.cc/bbs/PokeMon/M.1471273281.A.E4B.html 真的就只是Pokemon GO實在吸引太多人注意了 加上真的就只是用HTTPS傳的 你怎樣組成封包的程式碼就放在App裡，總是能夠反解譯(Unity)反組譯(.so)出來的 之前翻了一下Github幾個處理封包的套件 看起來他們的確是沒有在HTTPS之上做些什麼特別的處理啦... 現在手機遊戲反來反去這一塊不缺人呀，現在又全世界神人齊力斷金XD 資料上都一樣，但行為不一樣 就看官方怎麼認定囉 至少你飛來飛去一定死 ※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:11:11 還好啦，JB都告不成了... ※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:15:34 是有猜一下它是怎麼實作的啦 它的App會統計使用者查詢的地點頻率，來決定飛飛兵要去哪邊偵查 至於你看到的現象就只是飛飛兵因為偵查的頻率或範圍關係，沒有找到你身邊的怪 所以出現在Go Radar上的一定有，但是有的不一定會出現在上面 ※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:23:51 說台灣有那麼多人裝它的Tweak我反而覺得很瞎耶XD 要裝理論上也要JB/Root吧 這樣還是會有一個和Google登入不一樣的Token 只是Niantic是直接發給PokeIV而不是發給你 其實用Google的話還可以先解除允許給Pokemon GO的權限，讓Token失去效用 官網帳號雖然說可以先改密碼在登PokeIV再改回來 但是用官網帳號因為Token不會經手你這邊，你連要做登出的動作都...辦不到... 可能要看官方有沒有做「一改密碼就把這個使用者之前所有的Token都作廢！」的動作 往好處想Pokemon GO的玩家數量實在太多 如果你只查一次，而PokeIV也真的乖乖的只幫你和官方問一次 那要從茫茫大海中找到你的機會可能真的會小一點啦 但Niantic應該不缺從Google來的Big Data人才就是惹? ※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:41:49 ※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:44:19 Go Radar的偵查帳號如果真的是這類網站/App搜集來的就太沒品了，應該不是吧 而且那些帳號應該會瞬間被BAN光然後就沒人敢用那個App或網站了... 或許作者有寫洗官網帳號的機器人來做這些事 這邊的登出 是註銷Niantic給你手機裡Pokemon GO的Token 而上面提到的Niantic給PokeIV的Token會不會"順便註銷"則要看官方的作法 可能會也可能不會啦，我自己沒有實驗過不知道 但就認證機制上，兩個Token不一樣而且不一起註銷應該是比較常見的實作 ※ 編輯: kevin0125 (59.115.235.178), 08/16/2016 00:08:37 行為一樣，但PokeIV之類網站傳的資料不一定一樣啊XD 我自己寫其他東西的(逼－)也都要官方app/黑窗都側錄一遍確認帶的資料一模一樣才安心 天知道他們用的程式會不會少加個Header、什麼欄位亂帶 API打了會通拿到一樣的資料又不代表和官方APP打的方式一模一樣:p 其實反過來想 官方要找外掛也是先想辦法找出不是官方App送來的Request 至於這堆Request之中要怎麼分出哪些是乖乖只查IV，哪些是有做壞事也不是說很好分 除非說官方自己開放查IV，不然很難避免這種灰色地帶吧 ※ 編輯: kevin0125 (59.115.235.178), 08/16/2016 00:36:47