游戏篇——移动 APP 安全行业报告

移动 APP 安全行业现状与导读

移动应用开发者所面临的安全问题主要涉及终端漏洞威胁,应用重打包威胁,应用仿冒威胁。

本移动 APP 安全行业报告将对金融、电商、游戏三大重灾区行业进行举例分析并配以图表说明,还原移动 APP 安全行业本貌。本期来看游戏篇。

上期电商篇链接:

电商篇——移动 APP 安全行业报告

游戏行业移动 APP安全

现状图示

据统计,2016年游戏类移动 APP 款数约2.6万,2015年游戏类移动 APP 款数约1.5万,2016年相比2015年增长约73%。

游戏行业移动 APP 受漏洞影响如图所示:

高危占比29.9%:游戏客户端与服务器数据传输不安全导致游戏数据可篡改、可泄露等;

中危占比29.2%:游戏客户端本地存档数据未加密,导致存档可篡改、隐私泄露;

低危占比40.9%:应用内存在部分逻辑不严谨,导致在某些情况下应用崩溃;

APP 破解问题位列游戏行业移动 APP 安全问题之首。

游戏行业移动 APP 安全问题

案例说话——重打包

如同传统的互联网黑产一样,手机游戏黑产主要目的是获取非法收益,其手法多种多样,主要包括插入恶意代码、插入广告、破解等。

首先,插入恶意代码主要的方法是黑客对下载的游戏安装包进行反编译,在其中加入恶意代码,再将游戏重新打包为安装包,进行二次发布。相对于原始游戏应用,插入恶意代码的游戏应用可以进行恶意扣费、读取用户的隐私数据、破坏用户的设备,极大损害游戏厂商与游戏玩家的利益;

其次,插入广告作为获取收入的最直接方式,经常出现在手机游戏应用中。普通用户可能不知道这些广告中大部分来自于“打包党”的二次插入,“打包党”们通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布;

最后,破解作为直接破坏游戏平衡性的最佳方法一直是游戏开发者深恶痛绝的一种安全问题。众所周知,很大一部分游戏的收入来自于游戏中出售的虚拟物品,而黑客可以使用反编译的手段修改游戏逻辑代码绕过付费验证逻辑,达到不付费即可体验游戏收费功能的目的。这不仅损害了游戏厂商的利益,更破坏了整个游戏体系的平衡,对整个游戏运营系统是暴击。

腾讯云乐固团队分析了市场上比较火热的一款跑酷类游戏,发现该游戏在众多渠道上都存在破解的情况。

与此同时,部分渠道被重打包的盗版游戏代码内除了游戏本身的逻辑代码外还包含了一些发送短信的恶意代码,相关的模块在原始的正版应用中并不存在,如下图:

游戏行业移动 APP 所遇安全问题

案例说话——外挂

外挂作为破坏游戏平衡性的常规手段对单机游戏与网络游戏均具备较大的破坏力,对于单机游戏来说,外挂可以协助玩家以较低成本完成游戏,破坏游戏本身的平衡性与可玩性;对于网络游戏来说,外挂在破坏游戏平衡性的同时也会增加服务器端的计算压力。也正因为外挂对于游戏的破坏力惊人,外挂通常被游戏开发者、运营商认定为主要安全问题。

腾讯云乐固团队对市场上比较流行的一款消除类游戏进行调查发现,该游戏外挂以辅助工具的名义存在于各大游戏论坛中,其使用方法简单粗暴,并且配以图文教程。其主要手段是提示消除路径、增加道具使用次数、篡改消除单元排列,通过这些“辅助”方法,游戏难度大大降低,游戏平衡性荡然无存。

下图是篡改消除单元排列的效果图:

游戏行业移动 APP 安全问题

解决方案

通过上文的分析可以看出,手游行业所存在的安全问题主要包括重打包与外挂两大类,腾讯云乐固推出一套完善的移动游戏安全解决方案。

1乐固游戏反重打包解决方案

针对手机游戏行业中存在的插入恶意代码、插入广告、破解等问题,乐固制定了高强度的反重打包方案。在游戏开发者完成开发后,乐固对游戏安装包进行反重打包处理,处理后的游戏安装包内的任何代码、资源文件发生改动均无法正常运行游戏。

2乐固游戏反外挂解决方案

针对市场上出现的外挂进行分类对抗,提高游戏对外挂的免疫力,保护游戏平衡性。

移动 APP 安全行业现状总结

通过腾讯云乐固团队对金融、电商、游戏三大行业移动 APP 的安全分析,可以得知:

移动 APP 在安全方面存在较多的问题,并且问题分布与应用所在的行业具有密切的关系。比如金融行业的 APP 主要存在的安全问题大都跟数据相关,包括通讯数据安全、本地数据存储安全、运行时数据安全等;电商行业的APP对注册、登录、账户密码安全相关的方面需求更为强烈,包括密码撞库、业务防刷、密码泄漏等;游戏类APP所存在的安全问题根据游戏类型的不同而千差万别,但究其本质主要包括重打包、外挂两大类。

对于APP开发团队来说,在复杂的外部环境中保护团队的开发成果是必要的,应尽可能采取针对行业的专业安全解决方案防范安全问题的出现。

对于APP用户来说,使用盗版应用存在的风险较大,建议从正规的应用市场下载应用。

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2017-03-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏华章科技

年度热门编程语言排行榜,你擅长的语言排第几

我们都知道,C++,MATLAB,Java 一直都受到技术学院的青睐,大多数毕业生都热衷于学习这些语言。但它们是否是业界所需要的呢?抱着这个疑问,我们访问了几个...

552
来自专栏疯狂的小程序

小程序火爆的因素

几天前,我重新翻阅了2017年5月写的一篇关于小程序的文章,文章虽青涩但还算精确,文中阐述了三个观点:

19310
来自专栏工科狗和生物喵

一个机械人到半只程序猿的进化之旅

开篇语 好吧,名字是不是很有新意?写出来的刹那我差点在自习室感动到落泪,但是后来想想,好像有点文不对题啊~~但是谁叫这个标题这么帅呢?一向务实的我都忍不住败倒在...

36510
来自专栏安智客

物联网攻击即将出现!---思科安全报告

思科每年都会发布网络安全报告,最新的2018年度网络安全报告中,介绍了思科研究人员和其合作伙伴根据过去 12 到 18 个月内观察到的攻击者行为得出的数据和分析...

1122
来自专栏云计算D1net

安全领域 云计算“做得了”和“做不了”的事

现在的这个IT时代,有一些用户对于安全问题并不是太关心,的确,部署安全措施并不能带来业务的增长,只能是当做对于业务风险的防范,为了防止出问题才迫不得已去使用。很...

33112
来自专栏祝威廉

直播技术初探

驱动力大致如上面的文摘中所言,然而最近部门有一个工作便是帮助云平台做质量分析,所以我觉得有必要了解下视频相关的一些技术。

984
来自专栏小巫技术博客

求职面试-你们想知道的腾讯面经

733
来自专栏web前端教室

前端开发岗位现在到底需要什么样的人?“我”该怎么样成为“这样的人”?

许多前端小伙伴一提到找工作这个话题,那简直是说不完的苦,吐不完的槽。都在说找前端工作不容易,投简历也没人理。那么情况到底是怎么样呢?咱们在吐槽归吐槽,还是要冷静...

19110
来自专栏PPV课数据科学社区

独家解析:一个资深架构师为何面试失败?

最近参加了一次面试,应聘架构师的职位,不是很爽,倒不是因为问题本身,而是面试官的态度。面试基本的礼仪,握个手,自我介绍一下,是最基本的吧。感觉对方很傲慢,其实从...

2913
来自专栏重庆的技术分享区

注意以下5种黑客攻击小企业的方式

在过去的几年中发生了如此多的备受瞩目的黑客攻击和网络攻击,很容易陷入小企业很少成为攻击目标。毕竟,大企业可以提供更多,特别是涉及个人或敏感数据时 - 对吗?

692

扫码关注云+社区