游戏安全资讯精选 2018年第二期:游戏行业年度白皮书;手游外挂、直播答题安全风险解析,近30%外挂手游存在致命安全问题,八招应对短信验证码攻击


游戏安全资讯精选 2018年第二期:游戏行业年度白皮书;手游外挂、直播答题安全风险解析,近30%外挂手游存在致命安全问题,八招应对短信验证码攻击


【游戏行业安全动态】游戏行业年度白皮书


概要:刚刚结束的2017年,作为游戏行业买量竞争升级的一年,广告主纷纷表示压力山大,用户获取成本已经高到了临界点,而各个广告平台则希望在2018年广告收入还能再翻一翻,游戏买量市场能否在2018年持续增长我们拭目以待,本篇报告我们主要以2017年买量游戏行业数据为基础来回顾一下行业的发展情况。

从2017年全年的数据看,买量游戏主要还是以角色扮演产品为主,占所有买量产品的69.61%,其次是策略游戏占全年买量游戏比例的10.13%,另外今年有不少地方棋牌的产品也加入到了买量的队伍中,占所有买量游戏的8.09%,然而随着国家政策的管控,一线的广告平台和媒体对棋牌产品的投放管理都很严格,如下是不同类型买量产品的占比情况:


2017年全年,热云数据TrackingIO服务客户的全年监测数据显示,累计有7855款产品投放广告,总共产生了2.9亿次有效的游戏激活,在不应用防作弊规则的情况下,产生的点击总数超过了2279亿次,平均每天超过6.2亿次点击。(来源:游戏陀螺)


点评:去年下半年,互联网圈子有两个无人不知的关键词就是吃鸡和挖矿,这两者看似毫无关系,一个是热门游戏,一个是“理财产品”,最近,终于有一波人把这两者有机结合在了一块——外挂开发者,外挂中包含挖矿木马,影响了数十万台电脑,与此之外还有盗刷道具、盗刷属性、盗刷金币、盗刷钻石等各种盗刷问题存在。


【游戏行业安全动态】2017年手游质量白皮书:近30%外挂手游存在致命安全问题,100M以上包体仅占20%


概要:今年是精品游戏大放异彩的一年,而吃鸡引领的战术竞技品类今年备受关注,其中出现了不少外挂问题,个别产品上线时也遇到了兼容性的问题,然而,只有把这些问题解决好,提升游戏产品质量,才能获得市场的认可。报告显示:近30%外挂手游存在致命安全问题,以飞行射击类游戏最为严重; “盗刷道具”为年度手游最频繁的致命外挂安全问题;登录、掉线类问题受到最多玩家反馈。(来源:游戏葡萄)


点评:如今这个游戏行业买量当道的时代里,游戏公司对买量的重视程度几乎达到了病态的地步,这不仅给游戏公司产生了巨大的损失,同时也给广大游戏灰色产业人士提供了大量的赚钱机会,买量成为游戏行业中猫腻最多的领域之一。


【游戏行业安全动态】直播问答背后的黑产困境


概要:目前网上主要有下面这些花样作弊方式:


1、线上抱团,答案共享:比如下面这样的QQ群,群介绍也很直白,“一边直播,一边直播答案”。就是大家抱团答题,实现实时答案共享。这种群同样在微信了也可以找到不少。

2、复活卡:目前的直播问答都有“复活”功能,比如你邀请了新的好友,就可以多一次复活机会。如果在某宝搜“冲顶大会复活卡”,你会发现这个已经有不少商家上架了这种商品,拍下之后可以获得“额外生命值”。一次只需数元,并且可以多次购买。

3、作弊外挂:在某宝搜索“冲顶大会辅助”,同样不会让你“失望”,20元的辅助答题软件,无需复活卡,宝贝评价里有这样的描述“识别度精准,毫秒级,答题神器”。

4、智能辅助答题:国内某智能音箱也增加了“冲顶助手”功能,增加了题库的投入。实际上是利用语音智能搜索的功能,用户提到“冲顶大会、冲顶助手、百万英雄、芝士超人、黄金十秒、答题助手”等关键词,就可触发“冲顶助手”功能。不过这种辅助的“智能作弊”对语音技术和搜索引擎技术的要求相对较高,效果怎样不得而知,但利用人工智能来实现作弊想想还是有点不寒而栗的。(来源:网易)


【云上视角】1月19日阿里云平台安全升级通告


概要:近日,Intel处理器被爆出严重安全隐患,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题(漏洞详情可点此查看)。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。

 

解决该安全隐患的完整修复方案包含两个部分,一是云平台虚拟化宿主机修复,二是客户侧的操作系统更新。目前,阿里云已经启动了云平台底层基础架构的漏洞修复更新,预计于北京时间1月19日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。

 

由于此隐患涉及过去10年间Intel的绝大部分CPU型号,已知有部分场景下不支持热升级方案。与之相关的客户我们会另行提前通知,请确保预留的联系方式(手机、邮箱)畅通。我们建议客户根据业务情况,提前调整和准备运营预案,妥善备份重要业务数据。

 

在云平台底层基础架构的漏洞修复更新完成后,我们建议客户进行操作系统的补丁更新评估,以确保完整的安全性。阿里云正积极联合Intel、微软以及Linux各发行版本厂商验证操作系统更新方案。



【云上视角】阿里云安全专家:八招应对短信验证码攻击


概要:如今,大量的网站、网站、手机app都在使用短信验证码作为验证用户身份的安全技术措施。尤其在年底,企业的促销、抽奖、互动活动会迎来一个高峰期,用到短信验证码的场景非常频繁。但近期,阿里云·云盾WAF团队监测到,不少用户业务的短信验证码功能被攻击,短信接口被恶意利用,导致业务无法正常访问。同时,被刷的短信成本也直接造成一定量的资金损失。


点评:了解了风险之后,企业也不必过度担心,以下“指南”,可帮助了解如何防范短信验证码背后的安全风险。

1.手机号码逻辑检测

在手机号码窗口增加号码有效性检测,防止恶意攻击者使用无效或非法的号码,从而在第一窗口屏蔽非手机号的乱码等无效数字。

2.随机校验

在注册页添加个隐藏的<input>,设置保存在session中的随机验证码,发短信前验证一下,保证发验证码短信请求是在业务页面点击。

3.增加友好的图形验证码

即当用户进行“获取动态短信” 操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效缓解短信轰炸问题。

由于当前验证码在攻防对抗中逐步被成功自动化识别破解,我们在选用安全的图形验证码也需要满足一定的防护要求。

4.同号码短信发送频率限制

采用限制重复发送动态短信的间隔时长, 即当单个用户请求发送一次动态短信之后,服务器端限制只有在一定时长之后(此处一般为60-120秒),才能进行第二次动态短信请求。该功能可进一步保障用户体验,并避免包含手工攻击恶 意发送垃圾验证短信。

5.不同号码请求数量限制

根据业务特点,针对不同手机号码、不同访问源IP访问请求进行频率限制,防止高并发非法请求消耗更多的短信包和服务器性能,提高业务稳定性。

6.场景流程限定

将手机短信验证和用户名密码设置分成两个步骤,用户在填写和校验有效的用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。

7.启用https协议

为网站配置证书,启用https加密协议,防止传输明文数据被分析。

8.单IP请求限定

使用了图片验证码后,能防止攻击者有效进行“动态短信”功能的自动化调用。但若攻击者忽略图片验证码验证错误的情况,大量执行请求会给服务器带来额外负担,影响业务使用。建议在服务器端限制单个 IP 在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停对该 IP 一段时间的请求。


若情节特别严重,可以将 IP 加入黑名单,禁止该 IP 的访问请求。该措施能限制一个 IP 地址的大量请求,避免攻击者通过同一个 IP 对大量用户进行攻击,增加了攻击难度,保障了业务的正常开展。



 

 


订阅 NEWS FROM THE LAB


云栖社区专栏获取最新资讯

微博专栏获取最新资讯

一点号获取最新资讯


游戏安全资讯精选 2018年第二期:游戏行业年度白皮书;手游外挂、直播答题安全风险解析,近30%外挂手游存在致命安全问题,八招应对短信验证码攻击


扫码参与全球安全资讯精选

读者调研反馈 

上一篇:拓斯达拟新设两子公司加码机器人及工业物联网


下一篇:触摸Java世界的核心:类与对象 | 带你学《Java面向对象编程》之一