遊戲篇——移動 APP 安全行業報告
移動 APP 安全行業現狀與導讀
「
移動應用開發者所面臨的安全問題主要涉及
終端漏洞威脅,應用重打包威脅,應用仿冒威脅。
本移動 APP 安全行業報告將對金融、電商、遊戲三大重災區行業進行舉例分析並配以圖表說明,還原移動 APP 安全行業本貌。
本期來看遊戲篇。
上期電商篇鏈接:
電商篇——移動 APP 安全行業報告
」
遊戲行業移動 APP安全
現狀圖示
據統計,2016年遊戲類移動 APP 款數約2.6萬,2015年遊戲類移動 APP 款數約1.5萬,2016年相比2015年增長約73%。
遊戲行業移動 APP 受漏洞影響如圖所示:
高危佔比29.9%:
遊戲客戶端與伺服器數據傳輸不安全導致遊戲數據可篡改、可泄露等;
中危佔比29.2%:
遊戲客戶端本地存檔數據未加密,導致存檔可篡改、隱私泄露;
低危佔比40.9%:
應用內存在部分邏輯不嚴謹,導致在某些情況下應用崩潰;
APP 破解問題
位列遊戲行業移動 APP 安全問題之首。
遊戲行業移動 APP 安全問題
案例說話——重打包
如同傳統的互聯網黑產一樣,手機遊戲黑產主要目的是獲取非法收益,其手法多種多樣,主要包括插入惡意代碼、插入廣告、破解等。
首先,插入惡意代碼主要的方法是黑客對下載的遊戲安裝包進行反編譯,在其中加入惡意代碼,再將遊戲重新打包為安裝包,進行二次發布。相對於原始遊戲應用,
插入惡意代碼的遊戲應用可以進行惡意扣費、讀取用戶的隱私數據、破壞用戶的設備,極大損害遊戲廠商與遊戲玩家的利益;
其次,插入廣告作為獲取收入的最直接方式,經常出現在手機遊戲應用中。普通用戶可能不知道這些廣告中大部分來自於「打包黨」的二次插入,「打包黨」們通過反編譯工具嚮應用中插入廣告代碼與相關配置,再在第三方應用市場、論壇發布;
最後,
破解作為直接破壞遊戲平衡性的最佳方法一直是遊戲開發者深惡痛絕的一種安全問題。
眾所周知,很大一部分遊戲的收入來自於遊戲中出售的虛擬物品,而黑客可以使用反編譯的手段修改遊戲邏輯代碼繞過付費驗證邏輯,達到不付費即可體驗遊戲收費功能的目的。
這不僅損害了遊戲廠商的利益,更破壞了整個遊戲體系的平衡,對整個遊戲運營系統是暴擊。
騰訊雲樂固團隊分析了市場上比較火熱的一款跑酷類遊戲,發現該遊戲在眾多渠道上都存在破解的情況。
與此同時,部分渠道被重打包的盜版遊戲代碼內除了遊戲本身的邏輯代碼外還包含了一些發送簡訊的惡意代碼,相關的模塊在原始的正版應用中並不存在,如下圖:
遊戲行業移動 APP 所遇安全問題
案例說話——外掛
外掛作為破壞遊戲平衡性的常規手段對單機遊戲與網路遊戲均具備較大的破壞力,
對於單機遊戲來說,外掛可以協助玩家以較低成本完成遊戲,破壞遊戲本身的平衡性與可玩性;對於網路遊戲來說,外掛在破壞遊戲平衡性的同時也會增加伺服器端的計算壓力。
也正因為外掛對於遊戲的破壞力驚人,外掛通常被遊戲開發者、運營商認定為主要安全問題。
騰訊雲樂固團隊對市場上比較流行的一款消除類遊戲進行調查發現,該遊戲外掛以輔助工具的名義存在於各大遊戲論壇中,其使用方法簡單粗暴,並且配以圖文教程。
其主要手段是提示消除路徑、增加道具使用次數、篡改消除單元排列,通過這些「輔助」方法,遊戲難度大大降低,遊戲平衡性蕩然無存。下圖是篡改消除單元排列的效果圖:
遊戲行業移動 APP 安全問題
解決方案
通過上文的分析可以看出,手遊行業所存在的安全問題主要包括
重打包與外掛
兩大類,騰訊雲樂固推出一套完善的移動遊戲安全解決方案。
1
樂固遊戲反重打包解決方案
針對手機遊戲行業中存在的插入惡意代碼、插入廣告、破解等問題,樂固制定了高強度的反重打包方案。在遊戲開發者完成開發後,樂固對遊戲安裝包進行反重打包處理,處理後的遊戲安裝包內的任何代碼、資源文件發生改動均無法正常運行遊戲。
2
樂固遊戲反外掛解決方案
針對市場上出現的外掛進行分類對抗,提高遊戲對外掛的免疫力,保護遊戲平衡性。
移動 APP 安全行業現狀總結
通過騰訊雲樂固團隊對金融、電商、遊戲三大行業移動 APP 的安全分析,可以得知:
移動 APP 在安全方面存在較多的問題,並且問題分布與應用所在的行業具有密切的關係。
比如金融行業的 APP 主要存在的安全問題大都跟數據相關,包括通訊數據安全、本地數據存儲安全、運行時數據安全等;電商行業的APP對註冊、登錄、賬戶密碼安全相關的方面需求更為強烈,包括密碼撞庫、業務防刷、密碼泄漏等;遊戲類APP所存在的安全問題根據遊戲類型的不同而千差萬別,但究其本質主要包括重打包、外掛兩大類。
對於APP開發團隊
來說,在複雜的外部環境中保護團隊的開發成果是必要的,應儘可能採取針對行業的專業安全解決方案防範安全問題的出現。對於APP用戶
來說,使用盜版應用存在的風險較大,建議從正規的應用市場下載應用。
「
移動 APP 安全行業報告暫告一段落。在移動 APP 安全方向我們將繼續推出技術揭秘系列文章。
戳底部
閱讀原文
,即可獲取移動安全詳細解決方案。」
Hi,第一次見面嗎
長按下方二維碼識別關注
後台分別留言金融、電商、遊戲
關鍵詞獲取對應
移動 APP 安全行業報告篇章
※Mariadb蜜罐 | 用改造過的服務端攻擊客戶端
※詳解OSSIM-OSSEC WIN 4771案例
※批量S2-045漏洞檢測及利用
※閑話文件上傳漏洞
※專坑國人!不法分子正大量濫用蘋果iOS企業證書
TAG:FreeBuf |
※KONAMI經典動作遊戲《惡魔城》動畫化
※NBC環球成立移動遊戲和VR發行部門
※全新遊戲體驗《MAPLUS++》官網曝光
※遊戲行業全產業鏈大變?iOS11將取消暢銷榜
※第6部TV動畫《遊戲王VRAINS》延期播出
※3DS JRPG遊戲《生存聯盟》新預告片公布 介紹遊戲的「資質」系統
※第6部TV動畫《遊戲王VRAINS》公開視覺圖
※粉絲福利!《遊戲王》劇場版將於TOWER RECORDS舉辦聯動
※經典RPG遊戲《異域鎮魂曲》已推出移動版
※NVIDIA面向遊戲筆電推出MAX-Q設計方案
※動畫《遊戲王》新作副標題VRAINS 主人公變身形象公開
※什麼情況?第6部TV動畫《遊戲王VRAINS》延期播出
※EA育碧動視將支持UWP架構遊戲利好國行玩家 XboxOne兼容遊戲促銷16日開啟
※偶像大師 Side M 公開動畫新視覺圖與 APP 遊戲 PV
※A1改編TV動畫《碧藍幻想》PV公布 傳承遊戲的經典
※跨平台合作!HTC欲將其第一方遊戲登陸PS VR
※「剎那計劃」第二彈遊戲《LOST SPHEAR》正式公布
※MOBA遊戲《全職大師》內測階段開始 遊戲截圖欣賞
※暴死預感?知名卡牌遊戲公司BUSHIROAD公布新LOGO