腾讯云安全:移动 APP 安全行业报告(2)
移动电商行业中,商家通过“平台活动”吸引用户、促进销量。而“羊毛党”则是通过“强占”商家的这种优质资源并转手真正的用户来谋利。损害了商家与用户的双向权益。 (薅羊毛关系链) 3.订单支付 支付系统是电商APP必不可少的一个模块,涉及到用户的账户密码、资金安全。用户在APP上支付时,数据如果不做有效保护,随时会被不法分子利用。 电商行业移动APP所遇安全问题 案例说话 国内著名移动运营商遭黑卡薅羊毛,流量平台一月被抢8. 2 万G 2016 年 12 月 10 日至 2017 年 1 月 6 日期间,某运营商的“有奖答题”营销活动被羊毛党疯狂利用,导致活动开始时网页崩溃,活动福利一抢而空。 参考链接: http://tech.qq.com/a/20161214/003524.htm 上述案例全过程分析 1.薄弱环节:无法鉴别真实用户 爆发这场“薅羊毛”大战的技术原因在于运营商(客户端APP、APP后台)无法有效识别出哪些是真实用户、哪些是羊毛党,也就是缺少图中所示的强大、高效的用户身份鉴别模块。 (身份鉴别模块作用示意图) 2.突破关键:手机号验证已经不是门槛 为提高注册用户身份的真实性、过滤出高价值用户以及防止恶意注册、扫号,案例中的运营商使用了短信验证码。为此,如何突破短信验证码就成为薅羊毛的关键一步。如下图手机打码关系链图。 (手机打码关系链) 3.“薅羊毛”的产业链:分工有序 整个“薅羊毛”有着完备、成熟的产业体系。羊毛党们经过精心的准备,接下来的攻击和套现就变得简单化、便捷化。羊毛党们利用打码平台和卡商提供的海量手机号以及提供的打码服务在运营商的流量平台上批量注册账号,并用注册到的账号采用自动化的软件参与运行商的“有奖答题”活动。整个薅羊毛关系链暴露出这样的核心问题:单纯依据手机号码来鉴别用户已不足以满足电商APP被“薅羊毛”的安全需求。看看黑产在这个方向的专业分工: (“薅羊毛”过程图示) 电商行业APP安全问题 解决方案 随着互联网的蓬勃发展,网购已经成为居民生活消费不可获取的重要部分。除了移动应用通用安全问题外,电商APP在业务安全方面存在的问题较大,腾讯云乐固针对电商APP提供了定制的安全解决方案。 1.支付安全解决方案 采用高度定制的安全键盘,严格的双认证传输通道,确保输入数据安全以及输入层到传输层的数据安全,有效防止截屏、输入信息窃取等威胁。 2.应用安全解决方案 乐固安全产品在源码、资源文件、运行时内存、逆向破解等方面对电商APP进行全方位保护。 3.业务安全解决方案 在APP集成短信验证码安全SDK,与腾讯云乐固&天御防刷后台配合,有效防止批量注册、扫号以及“薅羊毛”等恶意行为,避免企业被刷带来的巨大经济损失。 (多维度联合防刷-防薅) 小结 对抗“羊毛党”,根源上是识别用户是否真实,是否可靠。电商平台需从多维度去鉴别、过滤。 游戏行业移动APP安全 现状图示 据统计, 2016 年游戏类移动APP款数约2. 6 万, 2015 年游戏类移动APP款数约1. 5 万, 2016 年相比 2015 年增长约73%。 (游戏行业移动APP受漏洞影响如图所示) 高危占比29.9%:游戏客户端与服务器数据传输不安全导致游戏数据可篡改、可泄露等; 中危占比29.2%:游戏客户端本地存档数据未加密,导致存档可篡改、隐私泄露; 低危占比40.9%:应用内存在部分逻辑不严谨,导致在某些情况下应用崩溃。 APP破解问题位列游戏行业移动APP安全问题之首。 游戏行业移动APP安全问题 案例说话——重打包 如同传统的互联网黑产一样,手机游戏黑产主要目的是获取非法收益,其手法多种多样,主要包括插入恶意代码、插入广告、破解等。 首先,插入恶意代码主要的方法是黑客对下载的游戏安装包进行反编译,在其中加入恶意代码,再将游戏重新打包为安装包,进行二次发布。相对于原始游戏应用,插入恶意代码的游戏应用可以进行恶意扣费、读取用户的隐私数据、破坏用户的设备,极大损害游戏厂商与游戏玩家的利益; 其次,插入广告作为获取收入的最直接方式,经常出现在手机游戏应用中。普通用户可能不知道这些广告中大部分来自于“打包党”的二次插入,“打包党”们通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布; 最后,破解作为直接破坏游戏平衡性的最佳方法一直是游戏开发者深恶痛绝的一种安全问题。众所周知,很大一部分游戏的收入来自于游戏中出售的虚拟物品,而黑客可以使用反编译的手段修改游戏逻辑代码绕过付费验证逻辑,达到不付费即可体验游戏收费功能的目的。这不仅损害了游戏厂商的利益,更破坏了整个游戏体系的平衡,对整个游戏运营系统是暴击。 (编辑:ASP站长网) |