狙击风险!从《火影忍者OL》看腾讯手游安全全周期解决方案

手游行业的安全困局

手游行业因外挂、客户端&服务端漏洞、破解版等安全问题,每年遭受着超过几十亿元的损失。相对于游戏研发过程中的其他问题,由于手游安全测试的门槛较高,市场上绝大多数的手游开发者都无法主动高效的提前处理手游潜在的安全风险。一些手游开发者会抱着等出现了问题之后再去修复的想法,而等到问题出现之时,往往为时已晚,安全问题已对游戏的收入、口碑已经产生了很大的影响。

手游安全问题一般来自四个维度:客户端、游戏协议、服务器后端以及运营体系。这四个维度下的主要安全问题包括外挂,游戏业务安全漏洞、服务器宕机漏洞、包体反编译、破解版,游戏内的非法信息,打金工作室,非法操作等。

在诸多问题中,外挂对手游的危害是最被开发商重视的。外挂存在的原因主要为两个方面,一方面来自游戏在研发过程中未能发现和修复的业务安全漏洞,此类漏洞一旦被利用,往往存在高收益的特性,因此危害容易在外网环境下快速扩张。如果在研发期没有修复此类漏洞,会在运营期成为多个外挂变种,严重影响手游平衡性。还有一方面的外挂问题,来自于手游上线成熟运营之后, 排名越是靠前,热度越高,越是会让外挂工作室和黑客趋之若鹜。他们在各种利益的诱导下,对游戏进行技术破解、利用外挂获取收益,让游戏遭遇公平性的丧失,玩家的游戏乐趣遭受破坏,直接导致制作厂商的经济利益遭受损失。

《火影忍者OL》手游的安全服务全流程

由株式会社万代南梦宫娱乐和魔方工作室群共同打造、腾讯出品的全新羁绊策略手游《火影忍者OL》,他的首次亮相,是在北京UP2018腾讯新文创生态大会上。在核心玩法方面,《火影忍者OL》手游带给了玩家最具火影特色的combo策略战斗体验,充分还原了动画中庞大的世界观,大到气势磅礴的忍界大战,小到忍者考试、小队PK等火影式特色玩法等都是玩家体验的重点。

从我们在企鹅风讯获取到的APP Store榜单趋势-游戏畅销榜的数据来看,《火影忍者OL》手游正式上线大推以来,在游戏畅销榜的排名始终保持在Top40以内。这样一款始终维持高热度的精品手游,在腾讯游戏的安全部门经历了怎样严格的锤炼,才锻造成了如此精品质量呢?

上图展示的是腾讯游戏安全管理的整体闭环,基本上由腾讯制作发行的手游,都会经历这样的安全管理流程再正式上线面向玩家。

以《火影忍者OL》手游为例,在开发阶段,不删档测试前1-2个月,首先接入SR安全团队的手游渗透测试手游宕机漏洞检测,使用腾讯游戏独家研发的手游安全漏洞挖掘技术,主动挖掘游戏业务安全漏洞。

在不删档测试前的某一个版本中,通过接入SR手游渗透测试和手游宕机漏洞检测,为《火影忍者OL》挖掘出了如下漏洞:

注:以上所示漏洞已脱敏且均已修复

从漏洞等级来看:该版本共发现了6个致命漏洞,9个严重漏洞。

从风险类型来看:服务器Crash 6个,越权相关漏洞6个,其他如客户端恶意攻击、变速修改、刷属性等各1个。

从影响面来看:服务器Crash漏洞是最致命的,一旦触发,即造成服务器宕机,游戏停止服务,所有玩家无法进入游戏,如果在重要的推广活动节点引发,用户口碑将极速崩塌,玩家用脚投票,流失率空前上升,给厂商带来无法估量的损失。其次,如越权操作、变速修改、刷属性,导致游戏平衡性丧失,等级系统、经济系统等游戏创作者精密设计的规则遭受损毁,最终的结果同样是严重影响游戏体验,玩家大量流失。

在游戏正式上线运营,开启不删档测试之前,必过的一道安全防线就是接入MTP团队的反外挂方案加固方案

未接入MTP反外挂方案的游戏,玩家可以轻松利用修改器对游戏进行内存修改操作,游戏数值发生变化。一位凌驾于游戏规则之上的“超级玩家”便诞生了!这样的工具和教程非常容易在玩家之间传播,达到一定量级之后,对游戏的生态损害是不可挽回了。届时,游戏玩家流失,付费率下降,厂商不仅口碑受损,项目更将走向生命的完结。

接入MTP反外挂方案之后,可以对修改行为立即识别,并进行游戏闪退,成功阻挡游戏玩家的作弊行为。

在游戏正式上线前,与各工具一起守护腾讯游戏安全的,还有MTP团队的加固策略。MTP加固是行业领先的游戏专用加固方案,是目前市场上唯一一款最适合游戏的壳。通过对游戏进行代码保护,为游戏各组件护航,全面反调试,资源保护,对性能基本零影响,兼容性最强,腾讯所有手游都在用。

完成研发期和正式上线运营前的安全管理,经历过四款不同安全工具和服务,一款手游便经历了一轮完整的安全锻造,终于能够放心的投入到市场中,面向所有游戏玩家。对于同一款游戏版本更新的内容,会以同样严格的标准嵌入到安全管理流程中。腾讯制作发行的游戏,基本都经历过这样的管理流程,才投入市场的。为游戏护航,也为万千玩家的游戏体验负责。

开放解决方案,赋能手游安全

在腾讯开放合作的策略背景下,这套覆盖游戏从研发到运营上线全周期的手游安全解决方案已通过WeTest平台全面开放(详情可点击文末的“阅读原文”)

SR手游渗透测试

为企业提供私密安全测试服务,通过主动挖掘游戏业务安全漏洞(诸如钻石盗刷、无敌秒杀等40多种漏洞),提前暴露游戏潜在安全风险,提供解决方案及时修复,最大程度降低事后外挂危害与外挂打击成本。该服务为腾讯游戏开放的独家手游安全漏洞挖掘技术,杜绝游戏外挂损失。

SR手游渗透测试的团队成员拥有丰富的实战经验,已累积服务产品版本700+,使用行业独创渗透测试方案提供专业服务,从游戏通信协议、客户端函数安全、脚本逻辑、内存安全、静态资源安全等多个维度挖掘业务安全漏洞,该项服务无需接入SDK,对游戏本身无影响,高度私密性,不公开任何漏洞细节。现服务已对外,外部厂商可获得与腾讯6星游戏同等测试服务品质。

SR手游宕机漏洞检测

拒绝服务漏洞一旦被黑,就一定是致命的。为了解决游戏潜在的致命风险,SR安全团队将最新优化的SR手游宕机漏洞检测嵌入到安全闭环中。

该项服务是一种基于缺陷注入的自动软件测试技术,完成数以万计的检查任务,发现软件中不期望有的漏洞的行为,通过快速注入变异样例,对协议接口进行fuzz覆盖,自动发现服务器异常,宕机类漏洞。在结合了游戏安全测试经验之后,为游戏定制模糊测试工具,执行自动化宕机漏洞检测。

目前该项服务适用于所有unity3d引擎开发的游戏,完全黑盒检测,即使无需源码支持,也能对游戏进行宕机漏洞检测,工具接入后7*24h自动化扫描,安全专家介入漏洞验证环节。

MTP手游防外挂

防通用修改器——针对葫芦侠、烧饼等通用修改器的常用手段进行针对性对抗,能够在修改器发挥作用时, 迅速发现,并将游戏退出 ,以保护游戏。外挂作者面对这种情况,往往会推出各种外挂版本和外挂变种,反外挂方案会提取外挂的核心特征, 即使面对外挂变种,SDK也能够准确识别。

防通用变速器——对变速器的各种实现原理进行深入分析,对变速器的变速行为进行全面监控, 发现变速器发挥作用时,立即退出游戏。此外,在防变速器时,SDK也具有防变种功能,面对修改器变种,SDK也能够准确识别。在保证最完善最全面的检测策略基础上,同时严防误判,保护正常玩家。

MTP手游加固

MTP 加固方案是目前市面上少有的游戏专属壳,它针对手游 APP 特点进行定制,在性能稳定的前提下,为游戏各组件保驾护航,对抗游戏外挂和游戏破解版。在方案建立之初,MTP 加固方案就定位为“做最适合游戏的壳”,在制定方案的时候,把方案对游戏的性能影响作为重要的考虑因素。伴随版本快速迭代,MTP 加固方案已经建立起静态代码保护、运行时依赖、资源保护等全面的功能矩阵,同时注重游戏性能与稳定性,真正成为了名副其实的“游戏专用壳”,运行于王者荣耀等千万DAU级别游戏表现稳定。

解决方案页右侧,点击QQ图形联系商务,还有机会获得反外挂和加固服务的免费试用机会。

坚守品质,点亮游戏

放眼中国游戏行业,版号收紧,国内游戏用户总量趋近饱和,市场增量放缓。玩家增长带来的人口红利消耗殆尽,营收增速大幅下降。与此同时,老玩家们对游戏品质的要求还在不断在提高,靠不断上新游圈用户的运动彻底走到了尽头。这些严峻的市场考验都在反过来教育当前的游戏从业者们,我们需要更加尊重用户,尊重市场,重视产品品质。

腾讯游戏在十余年游戏锻造经验中,始终坚信创意是灵魂,质量是生命,创意决定了游戏可以飞多高,而质量则决定了它能够走多远。WeTest游戏安全服务也会继续深耕手游安全业务,守护品质,守护玩家。

面向手游全生命周期的安全解决方案,现已通过腾讯WeTest平台对外服务,欢迎了解。

点击“阅读原文”即可体验。

如果使用当中有任何疑问,欢迎联系腾讯WeTest企业QQ:285235001

原文发布于微信公众号 - 腾讯WeTest(TencentWeTest)

原文发表时间:2019-02-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

编辑于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券