Реально ли заработать на мобильном приложении по просмотру рекламы за деньги? / Habr
Статья является анализом одного из приложения в списке. Статья была написана сразу после обнаружения уязвимости в приложении. Разработчик получил отчет и подтвердил существование проблемы, обещая в скором времени всё исправить. На данный момент вышло обновление приложения на обоих платформах.Уже несколько лет AppNana (AppJoy) находится на волне популярности, ведь они дают возможность бесплатно, без смс, скачивать платные приложения из магазинов приложения для iOS и Android. В чем подвох, спросите вы? Где спрятаны подводные камни? Всё очень просто: вы тратите своё время на просмотр рекламы, установку левых, не подписанных приложения по прямым ссылкам, а также делитесь своей личной информацией с пол-дюжиной рекламных агрегаторов для мобильных телефонов, передавая им всю информацию к которой имеет доступ AppNana (включая личный email).
Вроде всё понятно. Бесплатный сыр только в мышеловке, тут-же есть плата и она не соизмерима награде. Если быть точным, минимальная сумма для «вывода» 45,000 nanas (внутренняя валюта, 45,000 nanas = 2 $), стартовый капитал 10,400, ежедневно активные пользователи получают 400 nanas (в случае если за предыдущие сутки они смогли собрать 4,000 nanas тем или иным способом), одно «задание» оплачивается от 20 (большинство) до 450 nanas (пока такое задание было только одно), при этом самую большую сумму nanas получают пользователи через рефералов (2 500 nanas приглашающему и приглашенному).
Теперь становится яснее. Самим приложением пользуются не для мизерных премий за скачивание антивирусов бесплатно без смс, а для приглашения всех и вся. Получается что все пользователи (500,000 — 1,000,000 по метрике Google Play) только и делают что создают несколько аккаунтов и по очереди отправляют себе приглашения? Не всё так просто, Max Guan (китайский разработчик, живущий в San Francisco), продумал это заранее. Для того чтобы воспользоваться реферальным кодом, который принесет 2,500 nanas, необходимо предварительно заработать 15 000 nanas, что само по себе является подвигом.
Ладно, оставим в покое «легальные» способы заработка. Попробуем с другой стороны. Устанавливаем Fiddler2 и прокси для Android. Настраиваем прокси для AppNana и смотрим запросы. А они оказываются очень интересными. К примеру вот этот:
POST to appnana2.mapiz.com/api/nanaer_login email=someone%40example.com&password=1234567890&source=Android&android_id=abc
В ответ придет SUCCESS и вам выдадут cookie с ID сессии. Вроде все просто правильно? Но вот только этот скрипт никак не ограничивает количество запросов. Brute Force обеспечен. К сожалению если проверять все email и password комбинации, сервер просто отвалится. Хотя оказывается что он может отвалиться с пятисотой ошибкой если android_id будет символом пробела…
Попробуем решить проблему подбора email. Для этого нам понадобится следующий запрос:
GET appnana2.mapiz.com/api/get_nanaer_info/?email=someone%40example.com
В ответ придет полный список с input_invitation (количество принятых рефералов)б paypal_email (AppNana получает его при выводе денег на PayPal), redeem_times (сколько раз получалось вознаграждение), login_times (сколько раз производился вход), bitcoin_address (используется для вывода в BitCoin), offer_nanas (количество «заработанных» nanas), register_ip (IP использованный при регистрации), devices (содержит список всех устройств с которых был произведен вход, вместе с их mac адресами и идентификаторами ios), email(адрес использованный при регистрации), lastlogin_ip (последний IP), nanas (баланс счёта), sent_invitation (количество отправленных приглашений «рефералов»), gift_email (дополнительный адрес для отправки подарочного кода). И еще пара не релевантных полей.
Что мы имеем? API который выдает без авторизации все данные пользователя. Как он нам поможет? Достаточно погуглить AppNana hack и мы тут-же получим почти полный список людей которые пытаются собрать как можно больше nanos через рефералов. В блогах можно найти записи с полутора тысячами комментарием, каждый содержит реферальный код и… почти каждый привязан к аккаунту Google, так как блог работает на Blogger. Наша задача упрощается в разы: парсим выдачу Google, находим все упоминания реферального кода (одна буква, затем 8 цифр), рядом ищем ссылки на профиль Google или email для связи. За пару часов, такой парсер сможет создать высококачественный словарь для brute force атаки на вышеупомянутый скрипт.
Теперь у нас есть база сотен или даже тысяч пользователей с балансом их личных счетов. Что мы можем делать? Всё. Абсолютно всё. Вы скажете что это невозможно, но ведь я еще не раскрыл все карты! Далее нам понадобятся еще два API:
POST to appnana2.mapiz.com/api/invite_verify
POST to appnana2.mapiz.com/api/redeem
Первый, активирует реферальный код и начисляет 2,500 nanas на счет. Второй, выводит nanas в Bitcoin или PayPal. Оба работают без авторизации.
В первую очередь вы составим пары аккаунтов у которых есть более 15,000 nanas на счету. Затем мы возьмем привязанные к аккаунтам реферальные коды и обналичим их для всех аккаунтов. Когда все будет готово, можно предположить что имея 1000 кодов и связанных с ними аккаунтами, можно получить 999,000 действительных связей. С учетом того что многие активно используют коды других для получения реферальной награды, можно предположить что 25% связей уже были использованы, это оставляет на с почти 750 новыми связями на аккаунт. Каждая связь приносит 5,000 nanas в систему. Обналичив все доступные нам реферальные коды (750,000 запросов), мы получим 3.75 миллиарда nanos, распределенных по всей системе.
Если брать самую дорогую награду (1,200,000 nanos за 100 $ PayPal), то мы сгенерируем 312,500 $ или если мы предпочитаем анонимность, и готовы за не платить, то мы можем вывести все деньги в Bitcoins, что в результате даст нам 267,857 $ в bitcoins на день конвертации. Это без учета уже доступных балансов пользователей. Всё что нам остается сделать, это воспользоваться Redeem API для перевода денег на наш PayPal аккаунт или Bitcoin кошелёк.
Конечно, навряд ли стартап с одним разработчиком, который по совместительству является и начальником тех поддержки (информация из профиля LinkedIn), имеет PayPal счет или bitcoin кошелек с 312,500 $, но если весь процесс автоматизировать и не вызывать сильных подозрений, можно легко вывести круглую сумму.
Самое интересное, это не является прямым нарушением публичной оферты сервиса. В ней есть пункт 8a который запрещает сбор и хранение личной информации пользователей, при этом ее анализ, без последующего хранения по идее разрешен, также можно игнорировать личную информации, а сохранять только имя пользователя, баланс счета и реферальный код. Пункт 8k запрещает вмешивание в работу системы защиты, включая её отключение, в данном случае системы защиты нет как таковой, то есть используя API без авторизации я не нарушаю этот пункт. Пункт 8r самый обширный. Он запрещает использования автоматического программного обеспечения для доступа к сервису в обход их системе защиты и/или файла robots.txt (ни того не другого у них нет), а модификацию и использования модифицированных версий программного обеспечения для не авторизованного доступа к инфраструктуре AppNana. Тут все еще проще, модификация ПО не нужна, при этом запросы API никак не закрыт файлом robots.txt.
Мною были сняты 90 000 nanas со счета с более 1.5 миллионами nanas. Затем я отправил письмо в тех-поддержку с просьбой отменить транзакцию и вернуть средства пользователю, или хотя-бы вернуть средства пользователю, если транзакция уже была завершена. На следующие утро мне пришел ответ от самого Макса (владельца компании), о том что он уже знает (!) о проблеме и она решается. Интересно что это API работает как минимум с мая 2013 года. В приложении до миллиона человек. Доход с рекламы должен покрыть все затраты и еще хватит на одного программиста который закроет все дыры.
К счастью, или сожалению, это единственное приложение из 20 установленных мною из топа Google Play, которые содержало явную уязвимость. Почти половина из установленных приложения была построена на одном «движке». Запросы были как под копирку, ну и соответственно они были защищены ключом сессии и при малейших вмешательствах требовали повторной авторизации. Пара приложений так и не смогла загрузить рекламу для показа. Еще одно, по всей видимости, не собиралось выплачивать деньги, так как учет баланса вёлся в SharedPrefrences, а запросы отправлялись только для получения списка рекламодателей.
habr.com
Как зарабатывают просматривая рекламу на телефоне
Найдется ли человек кому не надоела назойливая реклама по тв и в интернете? Думаю нет. Но что бы вы сказали если вам предлагали деньги за просмотр рекламы? Согласитесь многие согласились бы. Получать плату за каждый просмотренный рекламный баннер не так уж плохо.
Так вот, недавно в сети появился сайт http://ad-fon.ru/ предлагающий всем желающим подключиться к просмотру платной рекламы на экране своего смартфона(Android 2.х, Symbian S60, WindowsMobile 6.x) . Требуется лишь скачать программу OCTOPUS на свой смартфон, пройти регистрацию и ожидать рекламных картинок. Если вы думаете что реклама вам будет мешать то это не так. Рекламные картинки появляются примерно раз в час, и вы можете их убрать одним нажатием клавиши «закрыть». Они также не мешают совершать звонки и принимать смс.
За каждый просмотр пользователь получает 0.02 балла. Один балл в данной программе равен 30 рублям. Из этого исходит что одно просмотренное рекламное сообщение приносит нам 60 копеек. Баллы суммируются в течении месяца и в конце месяца начисляются на мобильный счет телефона.
В любой момент пользователь может проверить на сколько баллов он просмотрел рекламы. Для этого в меню программы нужно зайти в «Личный кабинет». Просмотренные объявления хранятся в программе OCTOPUS в разделе «архив». Пользователи в любое время могут повторно просматривать полученные ранее рекламные сообщения. Но повторные просмотры из «архива» не оплачиваются.
Следует отметить что программа OCTOPUS время от времени соединяется с интернетом для загрузки нового рекламного материала, поэтому эти соединения будут оплачиваться согласно вашему тарифному плану. Исключением являются абонент сотового оператора Билайн. Возможно и абонентам других операторов в будущем сделают трафик бесплатным.
Рекомендую подключаться к OCTOPUS всем пользователям безлимитного интернета на телефоне. Конечно же деньги это небольшие, но при большом количестве рекламы вполне могут покрыть расходы на телефон. В настоящее время рекламы не очень много, проект только появился на рынке, но с ростом заинтересованных в просмотре рекламы увеличатся и рекламодатели.
Скачать OCTOPUS для Android 2.x | Symbian S60 | Windows Mobile 6.x
Раньше подобный заработок на просмотре рекламы предоставляла компания «Гигафон», которая на сегодняшний день перестала функционировать.
compusers.ru
Заработок на просмотре рекламы в Интернете
Заработок на просмотре рекламы — это не большой, но стабильный источник дохода без вложений. Причем данный вид заработка полностью автоматический, всё что нужно – это быть подключенным к сети Интернет.
Вы задумывались — сколько времени проводите онлайн? В сети человек общается с друзьями, ищет различную информацию, работает, смотрит фильмы и слушает музыку. Но, оказывается, проводить время в Интернете может быть и материально выгодно.
Суть просмотра рекламы за деньги
В сети активно развиваются проекты, которые осуществляют периодический показ рекламы на компьютеры и мобильные телефоны своих пользователей, пока они находятся онлайн. При этом за каждый такой показ пользователям начисляется вознаграждение в виде небольшого количества денег, вне зависимости от того, смотрели они рекламу или нет. То есть, совершенно не важно, что люди делают в Интернете, можно даже игнорировать всплывающую ролики, но деньги всё равно будут зачисляться на счет за каждый показ.
Сама реклама представляет собой некий «тизер», то есть небольшой блок, содержащий картинку или текст, который появляется сверху, снизу или по краям браузера. По истечении определенного времени тизер самостоятельно исчезает или его нужно будет закрыть – это единственное действие которое потребуется производить.
На рисунке показан пример тизеров от двух разных сервисов. Первый вывел рекламу сверху браузера, а второй справа снизу. Оба блока появились одновременно, но обычно тизеры появляются по одному.
Сколько можно заработать на просмотре рекламы
Понятно, что чем больше подобных сервисов подключить, тем больше будет общий доход. Но, в любом случае, серьезную прибыль данный вид заработка на рекламе не принесет. Его можно использовать в качестве дополнительного источника дохода для покупки сигарет или оплаты сотовой связи и Интернета.
Однако, низкая доходность компенсируется тем, что заработок на рекламе по сути является источником пассивного дохода. Работа осуществляется по принципу «один раз запустил и забыл» и не требует каких-либо дополнительных действий. Деньги зачисляется на автомате каждый день после показа рекламы.
Рекламные блоки бывают без таймера, которые можно сразу же закрывать после появления, и с таймером, обычно от 10 секунд до 1 минуты. Величина оплаты за просмотр зависит от продолжительности отображения ролика и её качества (простой текст, картинка или анимация).
Заработанные деньги можно выводить на электронные кошельки: QIWI, WebMoney, Яндекс Деньги. Зачисление денег обычно происходит в течение часа.
Для увеличения суммы дохода в свободное время можно использовать дополнительные виды заработка, предлагаемые на подобных сервисах:
- просмотр видео;
- переходы на зарубежные сайты;
- привлечение людей (партнерская программа).
Как начать зарабатывать на рекламе в Интернете
Общий принцип работы на сервисах показа рекламы состоит из двух этапов:
1. Пройти регистрацию.
Для начала необходимо зарегистрироваться, указав при этом имя (логин), почту (тут вы можете почитать как создать электронную почту на mail.ru) и придумать пароль. Причем, регистрироваться нужно именно как пользователь, а не рекламодатель. После чего на почту придет письмо для подтверждения регистрации и активации аккаунта.
В личном кабинете первым делом нужно правильно и максимально полно заполнить свой профиль. Обычно, нужно указать дату рождения, пол, местоположение (страна/город), а также свой номер телефона. Телефон нужно будет подтвердить путем указания кода, который придет в SMS сообщении.
Также, можно сразу указать реквизиты своих электронных кошельков для вывода денег (если у вас нет кошелька, прочтите, как создать Qiwi кошелек в Казахстане за 10 минут).
2. Установить специальное расширение в браузер, которое и будет осуществлять показы рекламы.
Ссылка на расширение обычно размещена на видном месте в личном кабинете или на главной странице. После установки расширения, в браузере появится иконка в виде кубика, нажав на которую можно всегда посмотреть свой баланс и статистику за текущий день не заходя на сайт. Расширение будет автоматически включаться при каждом запуске браузера.
Теперь тизерная реклама будет появляться в браузере и за каждый показ будут начисляться деньги. Остается только внимательно прочесть раздел «Помощь», там есть ответы на основные вопросы и ознакомиться с функционалом личного кабинета.
В зависимости от проекта, может потребоваться установка не расширения в браузер, а специальной программы на компьютер для работы с ПК, или мобильного приложения для работы с телефона.
Список сайтов для пассивного заработка на рекламе
Список проверенных сайтов, позволяющих зарабатывать и выводить деньги. Полностью работают в Казахстане.
ТОП 5 лучших проектов показа рекламы, приносящих наибольший доход: Крупнейший сервис по заработку на просмотре тизерной рекламы. Также имеются иные способы получения дохода, например заработок на просмотре видео рекламы. Позволяет зарабатывать как с компьютера, так и мобильных устройств (планшетов и смартфонов). Тут нужно устанавливать не расширение, а специальную программу на компьютер или приложение на мобильный телефон, которое и будет показывать рекламу. Расчеты в долларах. Классический представитель заработка на просмотре рекламы. Тут не нужно смотреть ролики, вообще ничего делать не нужно, просто установить программу на ПК и всё. По существу данный сервис также относится к автоматическому пассивному заработку – поэтому данный сайт в текущем списке. Работает незаметно, баннеры нигде не выскакивают. Проект заменяет рекламу на открываемых сайтах на свою. Поэтому чем больше вы путешествуете по Интернету – тем больше будет заработок.Surfearner
Глобус
Proxy-Web
AdvProfit
Другие проекты по заработку на просмотре рекламы:
Surfed
Платит в долларах США. Баннер появляется снизу и не отвлекает внимание.
Помимо просмотра рекламы имеется дополнительный доход в виде открытия зарубежных сайтов в отдельной вкладке браузера. Причем данный процесс можно автоматизировать.
Payadme
Тизеров не очень много, зато в свободное время можно выполнять задания по посещению различных сайтов. Как правило, доход от выполнения заданий намного больше чем от пассивного просмотра рекламы.
RIW
Прибыль меньше чем на других подобных проектах, зато есть одно большое преимущество — работает абсолютно незаметно — в отдельной вкладке браузера.
Кстати, если у вас в браузере установлено расширение по блокированию рекламы, наподобие AdBlocker или Stop Ads, его нужно отключить, так как оно может блокировать появление тизеров.
gaga.kz
