标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-10] 作者: ecawen 发表于: [2017-06-30]
本文共 [556] 位读者顶过
共享单车,这辆骑行在风口上的飞车,受到人们广泛认可和得到资本的高度青睐,但围绕着共享单车的产品技术安全问题,始终未得到妥善的解决。对于这个情况不仅在各大媒体报道发酵,在业界也是存在各种声音和论战,可以说产品安全风险问题的解决已经到了刻不容缓的阶段。
[出自:jiwo.org] 然而类似产品安全风险问题不仅仅是共享单车领域,可以整个互联网产业都受到不同程度的威胁。下面笔者就GPS定位伪造、App破解、App通讯协议漏洞以及账号作弊行为,目前几个常见且比较棘手的问题进行分析探讨,以求找到较优的解决方案。
⻛险环境检测技术 轻松解决GPS定位伪造问题 GPS定位广泛应用于各类定位监控系统,以确保对交通设备、人员的位置及行动进行定位监控,以保障业务的顺畅运行和人身安全。随着互联网技术和运营手段的发展,GPS定位在运营活动及各类游戏应用玩法中使用,令活动效果大打折扣、玩法平衡受到极大的冲击。
例如,不少共享单车没有GPS模块,只是通过⽤户⼿机的定位数据判断骑⾏的起始地以及骑⾏轨迹。⽽⼿机端环境不可控,有⼤量应⽤可以随意伪造GPS信息,使⽺⽑党⾜不出户就能刷⾛⼤量红包,⽽真正的⽤户却没有机会抢到红包。黑产这类非法牟利方式,不仅造成极差的用户体验,同时令商家蒙受巨大的经济损失,运营活动不但没能取得预期效果,对产品口碑带来反作用的后果甚至用户流失。
除了共享单车之外,不少商家也会通过AR红包的方式进行活动推广,以吸引用户来到活动现场参与互动、促销等行为。但非法份子通过伪造GPS的方式,足不出户轻松刷走红包,来到现场参与活动的用户却无法抢到红包,商家运营活动效果自然大打折扣。
另外,像此前风靡全球,基于GPS定位玩法的手机游戏—Pokemon Go,就被玩家通过GPS定位伪造,跨越不同国家地区去捕捉数码宝贝,对正常游戏的玩家造成极大地不公平,为了平息民愤,维护游戏玩法平衡和秩序,任天堂宣布加强对游戏作弊者的打击力度并进行无限期封号处罚。
顶象技术的⻛险环境检测技术,能够帮助App在运⾏时检测出各种⻛险事件,⽐如root环境、模拟器、代码注⼊、调试、系统中存在的敏感App和进程等,并能将这些⻛险事件实时上报。App开发者可以在出现这些⻛险事件时中⽌运⾏核⼼的模块或使⽤核⼼数据,从⽽使得App在⾮安全环境中处于受限状态,避免泄露敏感数据或被调试核⼼代码逻辑。
安全编译技术 有效防御App攻击风险
GPS定位伪造令运营效果大受影响,企业口碑下降;但黑产另一种行为—App攻击所带来的后果显然更加严重;不仅造成经济损失,甚至需承担法律责任,简直是触目惊心。
类似共享单车的App,用户行为和各种数据都在App存储记录,一旦App被攻破,黑客就能获取⽤户的包括骑⾏记录、⾏驶路径、账户余额等,涉及⽤户资⾦和隐私的泄露,不仅造成财产损失,还可能令人身安全受到威胁。对企业而言,不只是运营效果受到影响,还需承担由此产生的法律责任,严重性亟待重视!
除了此类与用户行为、财产的密切相关的App,一些工具和游戏类型的应用被破解,对于厂商和开发者而言也是非常沉重的打击。现在的App主要以一次性付费购买或免费下载应用内购买收费的方式运作,但无论是那种方式都存在被黑客破解的可能性,令厂商收入受到影响。
而游戏类的App,黑客通过内购破解甚至直接修改数值,极大破坏游戏的平衡,造成游戏体系崩塌。更有甚者,黑客还通过对游戏重新打包,植入广告信息、木马病毒等等方式,进行非法牟利;而厂商和开发者不仅亏大发了,还可能需承担相应的法律责任。
出现以上情况,很大程度上是因为企业和开发者APP开发经验不足,对App安全了解较少,在代码书写上存在严重的逻辑漏洞、不规范等情况,写出来的代码很容易被黑客攻击或者二次打包。另一方面,不少开发者把目光集中在App开发和运营上,缺乏时间和技术去研究防止黑客攻击行为,使App存在安全漏洞,给黑客有可趁之机。
顶象技术的安全编译技术则能有效防御App被攻破的风险,它作为加固的下⼀代产品,从源代码级别开始对App提供深⼊⾄指令层⾯的保护,强⼒对抗静态逆向、动态调试等攻击⼿段。
与传统的加固技术不同,顶象技术提供⼀户⼀密的保护,能够做到每位⽤户安装的App在指令层⾯是完全不同的,⿊客即使攻破了某⼀个App,其他⽤户也不受影响,⼤⼤降低由此带来的⻛险系数。
此外,顶象技术业内⾸创App与云端的联动系统,能够实时为每⼀个App推送更新的安全完全指令,将⽆感热更的概念⾸次由以往的模块功能更新延伸⾄安全防护的更新。
链路防护功能 完美保障App通讯协议漏洞 某些记录用户行为类型的产品,App与服务器端的通讯协议都存在漏洞,通过逆向App得到服务器端接⼝和参数,然后通过伪造参数就可以越权访问他人账号,极容易造成个人隐私泄露等账号安全问题。
跟用户行为隐私泄露相比,移动支付的漏洞,对消费型App来说显然更加致命。例如,O2O提供线下服务的App,用户可以在App充值,而恶意用户可以做到在App中充值任意金额的钱,实际却只支付1分钱或其他任意金额,这对App运营商来讲是一个非常严重威胁和造成巨大的经济损失。
出现这种问题的原因是,App服务端没有遵循支付平台的API文档标准,对支付平台回调的支付结果信息做充分的校验。诸如此类的App服务端漏洞,值得企业和开发者的重视。
顶象技术提供的链路防护功能,提供⽐SSL更⾼层次的数据保护。它能够⾃动对App与服务器之间通讯的数据加密和加签,确保数据从应⽤层⽣成到进⼊SSL管道、以及从SSL管道取出到应⽤层处理之间的安全性和不可篡改性。任何伪造的参数虽能通过SSL通道到达服务器端,但是⽆法通过数据校验,从⽽保障通讯协议的安全性。
全景式业务安全风控体系 完美解决各类账号作弊行为 在互联网+深度发展的今天,不论传统行业还是互联网行业,账号体系都是大多数互联网业务基础支撑之一,黑灰产通过大批量注册来积累垃圾账号,成为多种业务攻击的基础。
基于账号作弊的各类垃圾广告和商品恶意评价行为广泛存在产品和业务当中,对用户造成消息骚扰及财产损失和对企业产品的可信度降低,直接影响商品销售量。
另外,黑客通过账号欺诈,实现活动套现、虚假交易、黄牛抢单,导致运营活动无法如常进行以及直接经济损失;同时黑客还通过账号盗用、盗取用户银行卡交易直接对消费者造成财产损失;利用伪造的虚假身份,从事各类违法活动,扰乱企业运营秩序,令用户蒙受财产损失及法律责任。
这些行为不仅存在电商行业,在一些游戏娱乐行业也广泛存在,例如游戏的盗号行为,对CP而言一直是非常棘手的问题,黑客往往对游戏中的充值金额巨大的鲸鱼用户下手,盗取账号进行非法交易,牟取暴利。这不仅造成CP和玩家的直接经济损失,还导致这类用户的流失,对于该款游戏的运营造成极大的打击。
顶象技术的全景式业务安全⻛控体系,结合全流程在线端防护、⻛险识别防控以及智能分析平台,同时⽀持轻量SaaS云服务和私有化定制部署,通过⼈机识别、账号体系、设备指纹、操作⾏为、⻛险IP等多维度分析,为⽤户提供反垃圾、反欺诈、反盗⽤、反破解等业务⻛险。
在智能设备、App应用广泛使用以及业务运营互联网化的今天,产品和技术安全问题日益严重且受到企业的广泛重视。而作为企业和开发者,则是面对这些安全风险第一个桥头堡,承担着不可推卸的责任,具备足够的App开发意识和技术已经成为企业和开发者不可或缺的基础。 |