6月底,第三方統計平臺發布的報告顯示,微信小程序C端用戶達到2.8億,小程序數量達到100萬,累計用戶量達到6億。微信持續賦能小程序生態,「簡單快捷,不用下載,不佔資源」成為廣大用戶使用小程序的最大理由。
但隨著小程序生態的建立,其特有的安全風險也逐步顯示出來:過去不少黑產從業者費盡心思使用舊版APP來尋找客戶端於服務端通訊的漏洞,現在因為小程序本質是網頁交互,其通訊更容易被破解,導致信息失竊、山寨仿冒屢屢發生。
還有薅羊毛界常見的「風控對抗」,因為開發者無法獲取詳細的使用者信息,導致在APP上成熟的風控措施無法部署,小程序被薅羊毛的概率極高。
(某賺客網站攻略)
還有遊戲、工具類APP常見的山寨仿冒,因為小程序源碼難以混淆加密,導致山寨小程序也大量出現,過去開發山寨APP需要一周,現在山寨小程序只要一兩天就能上線,再加上小程序可以通過「裂變」、「社交分享」等方式傳播,往往會有「山寨小程序」比「正牌」傳播更快、使用者更多的現象。
(任意搜索熱門關鍵詞,總有很多類似的小程序)
針對上述風險,頂象技術於近日率先發布解決方案,可以有效防範帳號失竊、信息被盜用和應用遭仿冒等。
小程序生態初步成型 商業進程加快速度
今年618之前,微信官方開放了商品搜索類目,強化了微信生態的購物功能,這給騰訊體系內的京東、拼多多等電商夥伴提供了巨大想像空間。
而「跳一跳」的火爆也給小程序的商業化進行添了一把火。據說,在跳一跳裡植入一條小格子廣告,一天就需要500萬元,這已經遠遠超過了央視的黃金檔廣告價格。
(跳一跳裡的麥當勞廣告)
寫到這裡順便說一下,不少媒體人覺得跳一跳已經過氣,大家早就不玩了。但我看第三方數據,跳一跳仍然是小程序生態裡的頭部應用,應該是三四五線城市的用戶在玩。
種種跡象表明,微信官方對於小程序生態的商業未來,懷有極大的期望。而這就需要官方和第三方安全公司對小程序的安全提供更完善的解決方案,頂象的安全方案,我覺得僅僅是一個開始,還會有更多安全廠商加入進來。
小程序安全,需要專業的安全防護能力
不可否認,現在大家對小程序的現狀,更多的是「搶佔市場」和「開疆拓土」,而安全的重要性並未提起足夠重視。
例如,某電商拼購類應用,同時在APP和小程序上線運營活動,活動上午上線,中午就在賺客網站出現了薅羊毛攻略,羊毛黨利用群控微信中的小程序,瘋狂薅取新用戶補貼,迫使活動不得不提前終止。
頂象小程序安全解決方案負責人嘉迪表示,小程序在微信體系內運行,具有天然的抗跨站攻擊的優勢,但面臨營銷作弊,薅羊毛、信息被爬取等時,風險防範能力更低(黑奇士注,因為無法像APP那樣獲取全面的權限)。
那麼,頂象是怎麼防範小程序的安全風險呢?
頂象小程序設備指紋能夠採集終端設備的硬體、網絡、環境等非敏感的近百種特徵信息。它基於一次一密的token機制,保障採集特徵信息100%唯一性和安全性,避免了被竊取復用。不僅能夠識別已知和未知的各種模擬器,快速到檢測到root Android和越獄iOS等設備的變化,更能夠及時發現到網絡代理、VPN等風險環境。
頂象小程序驗證碼結合了設備指紋、行為特徵、訪問頻率、地理位置等多項技術,對於人機及惡意行為的識別率大於98%,並具有強大的抗破解能力強。它可以一鍵配置修改應用環境,並及時生效。用戶在使用時只需滑動即完成驗證,大大提升登錄速度和體驗性,良好應用於帳號、活動、UGC等各類場景中。
頂象小程序代碼混淆加密服務通過對小程序原始碼的混淆、加密、壓縮後,變成不可讀難以破解的代碼,防止小程序遭破解、篡改和山寨冒用。
頂象小程序怎麼使用?
頂象小程序安全解決方案提供了多種使用方式。開發者可以在小程序管理後臺的「設置-第三方服務-插件管理」中搜索並添加插件「頂象」進行調用,也可以通過JS代碼方式添加相關代碼直接使用。
小程序商業化加速將催大安全市場規模
黑奇士了解到,相對於日活和轉化率,今年微信官方和投資方的注意力正在轉移到開發者的商業變現能力。以往那種小遊戲、猜星座、你的前世今生等等爆火類小程序,其前景並不會被看好。
而商業化因素的加入,必然對用戶信息保護、商業促銷活動反欺詐等安全風險提起足夠的重視,而類似這種風險,單純依靠微信官方提供更多API顯然是不夠的,需要開發者對自己的後臺系統、前端邏輯也進行系統的整理,而這也是專業安全廠商開始入場的邏輯。
根據阿拉丁平臺提供的數據,目前包括金沙江、紅杉中國、IDG、真格基金在內,80%的一線基金已經進入小程序賽道,上半年進場投資資金超過30億人民幣。如此多的投資需要基本安全防護,其市場規模也將是個不小的數字。