共享單車,這輛騎行在風口上的飛車,受到人們廣泛認可和得到資本的高度青睞,但圍繞著共享單車的產品技術安全問題,始終未得到妥善的解決。對於這個情況不僅在各大媒體報導發酵,在業界也是存在各種聲音和論戰,可以說產品安全風險問題的解決已經到了刻不容緩的階段。
然而類似產品安全風險問題不僅僅是共享單車領域,可以說整個網際網路產業都受到不同程度的威脅。下面筆者就GPS定位偽造、App破解、App通訊協議漏洞以及帳號作弊行為,目前幾個常見且比較棘手的問題進行分析探討,以求找到較優的解決方案。
風險環境檢測技術 輕鬆解決GPS定位偽造問題
GPS定位廣泛應用於各類定位監控系統,以確保對交通設備、人員的位置及行動進行定位監控,以保障業務的順暢運行和人身安全。隨著網際網路技術和運營手段的發展,GPS定位在運營活動及各類遊戲應用中使用,而GPS篡改卻令活動效果大打折扣、玩法平衡受到極大的衝擊。
例如,不少共享單車沒有GPS模塊,只是通過用戶手機的定位數據判斷騎手的起始地以及騎行軌跡。手機端環境不可控,有大量應用可以隨意偽造GPS信息,使羊毛黨足不出戶就能刷走大量紅包,而真正的用戶卻沒有機會搶到紅包。黑產這類非法牟利方式,不僅造成極差的用戶體驗,同時令商家蒙受巨大的經濟損失,運營活動不但沒能取得預期效果,對產品口碑帶來反作用,甚至導致用戶流失。
除了共享單車之外,不少商家也會通過AR紅包的方式進行活動推廣,以吸引用戶來到活動現場參與互動、促銷等行為。但非法份子通過偽造GPS的方式,足不出戶輕鬆刷走紅包,來到現場參與活動的用戶卻無法搶到紅包,商家運營活動效果自然大打折扣。
另外,像此前風靡全球,基於GPS定位玩法的手機遊戲—Pokemon Go,就被玩家通過GPS定位偽造,跨越不同國家地區去捕捉數碼寶貝,對正常遊戲的玩家造成極大地不公平,為了平息民憤,維護遊戲玩法平衡和秩序,任天堂宣布加強對遊戲作弊者的打擊力度並進行無限期封號處罰。
頂象技術的⻛險環境檢測技術,能夠幫助App在運⾏時檢測出各種⻛險事件,⽐如root環境、模擬器、代碼注⼊、調試、系統中存在的敏感App和進程等,並能將這些⻛險事件實時上報。App開發者可以在出現這些⻛險事件時中⽌運⾏核⼼的模塊或使⽤核⼼數據,從⽽使得App在⾮安全環境中處於受限狀態,避免洩露敏感數據或被調試核⼼代碼邏輯。
安全編譯技術 有效防禦App攻擊風險
GPS定位偽造令運營效果大受影響,企業口碑下降;但黑產另一種行為—App攻擊所帶來的後果顯然更加嚴重;不僅造成經濟損失,甚至需承擔法律責任,簡直是觸目驚心。
類似共享單車的App,用戶行為和各種數據都在App存儲記錄,一旦App被攻破,黑客就能獲取用戶的包括騎行記錄、行駛路徑、帳戶餘額等,涉及用戶資金和隱私的洩露,不僅造成財產損失,還可能令人身安全受到威脅。對企業而言,不只是運營效果受到影響,還需承擔由此產生的法律責任,嚴重性亟待重視!
除了此類與用戶行為、財產的密切相關的App,一些工具和遊戲類型的應用被破解,對於廠商和開發者而言也是非常沉重的打擊。現在的App主要以一次性付費購買或免費下載應用內購買收費的方式運作,但無論是那種方式都存在被黑客破解的可能性,令廠商收入受到影響。
而遊戲類的App,黑客通過內購破解甚至直接修改數值,極大破壞遊戲的平衡,造成遊戲體系崩塌。更有甚者,黑客還通過對遊戲重新打包,植入廣告信息、木馬病毒等等方式,進行非法牟利;而廠商和開發者不僅虧大發了,還可能需承擔相應的法律責任。
出現以上情況,很大程度上是因為企業和開發者APP開發經驗不足,對App安全了解較少,在代碼書寫上存在嚴重的邏輯漏洞、不規範等情況,寫出來的代碼很容易被黑客攻擊或者二次打包。另一方面,不少開發者把目光集中在App開發和運營上,缺乏時間和技術去研究防止黑客攻擊行為,使App存在安全漏洞,給黑客有可趁之機。
頂象技術的安全編譯技術則能有效防禦App被攻破的風險,它作為加固的下⼀代產品,從原始碼級別開始對App提供深⼊⾄指令層⾯的保護,強⼒對抗靜態逆向、動態調試等攻擊⼿段。
與傳統的加固技術不同,頂象技術提供⼀戶⼀密的保護,能夠做到每位⽤戶安裝的App在指令層⾯是完全不同的,⿊客即使攻破了某⼀個App,其他⽤戶也不受影響,⼤⼤降低由此帶來的⻛險係數。
此外,頂象技術業內⾸創App與雲端的聯動系統,能夠實時為每⼀個App推送更新的安全完全指令,將⽆感熱更的概念⾸次由以往的模塊功能更新延伸⾄安全防護的更新。
鏈路防護功能 完美保障App通訊協議漏洞
某些記錄用戶行為類型的產品,App與伺服器端的通訊協議都存在漏洞,通過逆向App得到伺服器端接⼝和參數,然後通過偽造參數就可以越權訪問他人帳號,極容易造成個人隱私洩露等帳號安全問題。
跟用戶行為隱私洩露相比,行動支付的漏洞,對消費型App來說顯然更加致命。例如,O2O提供線下服務的App,用戶可以在App充值,而惡意用戶可以做到在App中充值任意金額的錢,實際卻只支付1分錢或其他任意金額,這對App運營商來講是一個非常嚴重威脅和造成巨大的經濟損失。
出現這種問題的原因是,App服務端沒有遵循支付平臺的API文檔標準,對支付平臺回調的支付結果信息做充分的校驗。諸如此類的App服務端漏洞,值得企業和開發者的重視。
頂象技術提供的鏈路防護功能,提供⽐SSL更⾼層次的數據保護。它能夠⾃動對App與伺服器之間通訊的數據加密和加籤,確保數據從應⽤層⽣成到進⼊SSL管道、以及從SSL管道取出到應⽤層處理之間的安全性和不可篡改性。任何偽造的參數雖能通過SSL通道到達伺服器端,但是⽆法通過數據校驗,從⽽保障通訊協議的安全性。
全景式業務安全風控體系 完美解決各類帳號作弊行為
在網際網路+深度發展的今天,不論傳統行業還是網際網路行業,帳號體系都是大多數網際網路業務基礎支撐之一,黑灰產通過大批量註冊來積累垃圾帳號,成為多種業務攻擊的基礎。
基於帳號作弊的各類垃圾廣告和商品惡意評價行為廣泛存在產品和業務當中,對用戶造成消息騷擾及財產損失和對企業產品的可信度降低,直接影響商品銷售量。
另外,黑客通過帳號欺詐,實現活動套現、虛假交易、黃牛搶單,導致運營活動無法如常進行以及直接經濟損失;同時黑客還通過帳號盜用、盜取用戶銀行卡交易直接對消費者造成財產損失;利用偽造的虛假身份,從事各類違法活動,擾亂企業運營秩序,令用戶蒙受財產損失及法律責任。
這些行為不僅存在電商行業,在一些遊戲娛樂行業也廣泛存在,例如遊戲的盜號行為,對CP而言一直是非常棘手的問題,黑客往往對遊戲中的充值金額巨大的鯨魚用戶下手,盜取帳號進行非法交易,牟取暴利。這不僅造成CP和玩家的直接經濟損失,還導致這類用戶的流失,對於該款遊戲的運營造成極大的打擊。
頂象技術的全景式業務安全⻛控體系,結合全流程在線端防護、⻛險識別防控以及智能分析平臺,同時⽀持輕量SaaS雲服務和私有化定製部署,通過⼈機識別、帳號體系、設備指紋、操作⾏為、⻛險IP等多維度分析,為⽤戶提供反垃圾、反欺詐、反盜⽤、反破解等業務⻛險。
在智能設備、App應用廣泛使用以及業務運營網際網路化的今天,產品和技術安全問題日益嚴重且受到企業的廣泛重視。而作為企業和開發者,則是面對這些安全風險第一個橋頭堡,承擔著不可推卸的責任,具備足夠的App開發意識和技術已經成為企業和開發者不可或缺的基礎。
【聲明:CSDN刊登此文出於傳遞更多信息之目的,並不意味著贊同其觀點或論證其描述,如需更多合作請聯繫:mobile#csdn.net(發郵件時請將#換成@)】