腾讯移动安全实验室「打造移动应用与游戏安全防线腾讯WeTest安全服务全线升级」
访问:
腾讯WeTest三周年特别活动
而对于移动游戏而言,外挂工具、系统功能漏洞、服务器宕机漏洞等问题频发,也将大幅影响游戏内平衡,使用户体验下降。
可以说,无论是移动应用还
当移动互联网渗透到千家万户,与工业控制、智慧交通、实时社交、休闲娱乐紧密结合时,应用安全就变得尤为重要。尤其在网络强相关的APP流行年代,当APP应用客户端上传与获取信息,大多通过接口在服务器双向通信,这很容易被第三方获取,导致数据盗取、接口盗刷,致使用户信息泄露,严重情况下将出现财产损失。
访问:
腾讯WeTest三周年特别活动
而对于移动游戏而言,外挂工具、系统功能漏洞、服务器宕机漏洞等问题频发,也将大幅影响游戏内平衡,使用户体验下降。
可以说,无论是移动应用还是游戏,发生安全问题就如同打开“潘多拉魔盒”,不但可能危害用户切身利益,也同样会造成企业的损失。与此同时还会发生企业信誉危机,品牌口碑大幅下滑等一系列问题,最终使企业面临败局。
近期,腾讯安全联合实验室就曾在《2018上半年互联网黑产研究报告》指出,移动端黑产规模宏大,恶意推广日均影响用户超过千万。在瞬息万变的数字经济时代,信息安全已不只是一种基础能力,更是企业应用生产的驱动力之一,是所有“0”前面的“1”。这需要开发团队提高产品安全配置,更需要专业级安全服务加以助力。
应对市场的安全需求增长,2018年10月26日,在腾讯WeTest三周年之际,将全面升级旗下安全服务,除了一向擅长的手游安全服务外,也将首次推出移动应用安全服务。通过构筑全新安全梯队,帮助开发者专注安全,提升产品品质。
优化游戏安全解决方案:全力攻克外挂、系统安全漏洞、服务器安全漏洞三大难题
在移动APP中,游戏成为安全漏洞的重灾区。
目前,在超过千亿元(人民币)的手游市场中,有80%的游戏APP存在至少1个高位,手游行业每年因外挂、客户端&服务器漏洞、渠道推广作弊、不良内容传播等行为,遭受着超过几十亿的损失。
但对于游戏开发者来说相比游戏的其他问题,由于安全测试的门槛较高,经常会被手游开发者忽略。一些手游开发者会抱有“等出现了问题之后再去修复”的想法,而等到问题出现之时,往往为时已晚,安全问题已对游戏的收入、口碑已经产生了很大的影响。
因此,在三周年之际,腾讯WeTest游戏安全团队重新启航,依托于腾讯手游安全金牌团队10余年经验,针对上述四大游戏安全痛点,面向全生命周期推出手游安全解决方案。
腾讯WeTest手游安全解决方案
l 阻断外挂侵害
谈到游戏安全,外挂成为最猖獗的隐患之一。
在目前的移动游戏市场上,正有30% 的产品正在遭受外挂的严重危害。外挂篡改游戏正常数值,使部分高价值道具可肆意盗刷,极大地损坏游戏公平性,迫使正常玩家流失,游戏厂商品牌口碑荡然无存。
30% 的产品正在遭受外挂的严重危害
对此,腾讯WeTest针对手游客户端推出全方位安全工具矩阵,通过手游加固、手游反外挂、客户端静态扫描、手游渗透测试等工具,防御对游戏客户端的恶意攻击、破解问题。
在技术优化层面,SR手游安全测试在腾讯WeTest重磅上线,该款手游渗透测试服务包含黑盒测试和灰盒测试两大测试方案。
黑盒测试,针对Unity3D、虚幻系列等市场主流引擎,完全模拟外网玩家和外挂工作室,从攻击者的角度对游戏进行逆向分析和破解,主动发现和挖掘系统中的弱点、技术缺陷和安全漏洞;
另一方面,通过灰度测试,腾讯WeTest将利用企业提供游戏协议结构文件,接入安全测试工具,进行缺陷放大和风险性评估,提前暴露游戏中潜在的安全风险。
此外,针对移动游戏开发者深恶痛绝、非常棘手的外挂隐患,腾讯WeTest接入MTP反外挂与手游加固方案,通过接入防外挂SDK,主动防御市面上通用修改器与变速器、精准判罚,一经发现,立即闪退。
l 发现服务器漏洞
外网玩家和外挂工作室常出现“技术控”,对游戏进行逆向分析与破解,进行代币盗刷等恶意攻击,导致游戏服务器宕机,安全事故层出不穷。久而久之,不仅耗费游戏客服、策划、运营大量精力,更会缩短游戏寿命。
当游戏中道具购买数量变大时,将导致服务器宕机
因此,腾讯WeTest对症下药,重点接入SR安全团队的手游宕机漏洞检测服务,为游戏定制模糊测试工具,执行自动化宕机漏洞检测,大幅降低人力监测压力。
l 阻断不良内容传播
随着内容驱动的信息战愈演愈烈,内容已经成为左右玩家体验的重要标准之一。然而随着游戏玩法逐渐复杂化、社交化,本来用于玩家之间互动的各类信息也被黑产钻了空子。
腾讯WeTest接入的MTP内容安全方案,依托人工智能技术,精准识别游戏中海量玩家昵称、签名、房间名、聊天内容以及头像等文本与图片信息,彻底阻断不良分子将色情、广告、涉政、暴恐四大类别信息非法植入。
文本内容安全监测应用场景
l 防止渠道推广作弊行为
在游戏营销推广期间,一些渠道会对游戏使用作弊手段进行恶意刷量,导致部分厂商损失百万,白白浪费市场费用。
为满足游戏厂商反渠道作弊的需求,腾讯WeTest接入MTP渠道营销反作弊与iOS小额支付监测方案,全面监控渠道推广作弊行为,尤其针对新游戏上线、发布新版本、重要活动等影响游戏生命周期的重要时间节点提供详细数据报表,真正挽回推广损失。
渠道营销反作弊工具样例报告
构筑移动应用安全解决方案:客户端、服务器、认知三大防护,治标又治本
目前,在移动应用的客户端与网络服务器安全问题中,反向破解、盗版仿冒、信息泄露、传输数据泄露等隐患已经成为首要问题。尤其对于热门的金融、交通出行、社交等二级领域来说,倘若遇到恶意攻击,不仅会导致应用出现支付隐患,更会造成大量用户数据泄露与财产损失。
据腾讯云的统计,市面上金融APP每款产品平均存在65个漏洞,且23%为高危漏洞
因此,顺应云端大平台的开放,除了加强游戏安全配置外,腾讯WeTest将业务拓展至移动应用,在APP客户端安全、网络安全、认知安全树立三大防护罩,帮助开发者在应用研发与运营全生命周期内令安全防护最大化。
WeTest应用安全解决方案全景
l 保卫App客户端安全
随着移动互联网行业高速迭代,产品研发人员倾注了大量精力开发出的产品,正遭受着盗版、篡改、二次打包的侵害,严重损害着项目利益。同时,本来用于保护应用核心源代码不被窃取的加固技术,竟成为很多病毒应用保护自己的恶意代码不被安全软件发现的手段。
对此,腾讯WeTest安全团队针对Android或iOS不同开发渠道,对移动应用客户端推出从安全检测到安全防护的双重防护方案。
其中,安全检测环节,WeTest不但提供代码扫描、漏洞、病毒、敏感词等静态资源扫描,同时也提供模拟用户行为的动态检测服务,更贴近实际业务需求。
安全防护解决方案
而安全防护中,则包括了“客户端加壳”和代码级的“源码混淆”两种方案。其中客户端加壳就是我们平时接触比较多的安全加固服务,而WeTest提供的加固服务再产品研发期帮助开发者对标不同产品能力进行加壳保护、so库保护、防二次打包、防注入,实现定制化应用加固,最大程度防止应用核心代码逻辑被逆向分析,保护算法及知识产权。这样一来,软件开发的管理人员即可便捷、准确地统计和分析当前阶段软件安全的风险、趋势,跟踪和定位软件安全漏洞。
而源代码混淆,则通过对C/C /OC/OC 等源代码做逻辑分支混淆和控制流平坦化,实现对源代码及业务逻辑的隐藏加密,可用于协议、密钥生成,以及自研算法等核心代码的自动化混淆保护。
源码混淆效果对比图
l 保卫移动应用服务器安全
当然,仅仅保证APP客户端的安全,还不足以抵抗所有隐患。随着色情、恶意应用分发等最赚钱的病毒迅速滋生,这些病毒普标标配云加载攻击技术来实现利益最大化,网络强相关的APP更应做到网络安全全面防护,规避传输数据泄露,降低用户支付风险。
对此,腾讯WeTest推出WEB通用渗透与业务逻辑双向的渗透测试服务。
WEB通用渗透层面,WeTest不断抵御注入攻击、XSS跨站脚本攻击、文件攻击,保护协议与组件安全。
业务逻辑层面,WeTest对身份认证、业务数据、用户输入、验证码、业务授权&接口安全实时监测,针对Android与iOS 不同特征,支持静态分析与动态监测双重引擎。从代码逻辑、数据存储、网络通信等方面,快速准确地定位APP的安全漏洞、判断是否存在恶意、违规行为并提供相应的整改建议。
l 重塑认知安全:帮助开发团队树立安全意识
在企业中,操作人员的安全意识不足同样也会造成一些黑客的可乘之机。因此,腾讯WeTest推出安全咨询、安全培训、整包服务等业务安全项目。可以整体提升企业员工的安全意识,维护企业业务安全。
从技术量变达成品质飞跃,WeTest将与开发者一同专注安全攻坚战
2018年10月26日,腾讯WeTest将正式迎来三周岁生日。三周年庆典期间,只要在WeTest平台注册的用户,均可免费体验标准兼容、云真机、压测大师、手游安全扫描、应用安全扫描等五大服务,更可享用总价值最高达45100元(人民币)的代金券。其中包含手游安全研发版20000元、应用安全体验包8000元、应用加固安卓专业版3600元等安全类服务代金券。旨在以低价格、高品质为目前的游戏与移动应用产品护航,以此促进整个行业生态良性发展。
腾讯WeTest三周年感恩回馈活动
十年探索,三年同行,基于腾讯系游戏产品出发,腾讯WeTest逐渐在APP的安全防护上积攒经验,目前游戏安全解决方案已应用于《九州天空城3D》《穿越火线:枪战王者》《梦幻诛仙手游》等多款星级游戏产品,覆盖超过200个安全风险项目与3700多个漏洞项目。
从游戏到应用,WeTest的安全攻坚之路还将持续。在未来, WeTest将在如团购电商、交通出行、移动支付等更多热门应用场景提供安全服务。专注安全,以品质应万变。
文章评论