“我是渣渣輝,是兄弟就砍我!”
衆所周知,《貪玩藍月》是一款網頁遊戲,自2016年發行以來,其代言人也是大咖雲集,除了古天樂外,山雞哥陳小春、劉烨、張家輝、古力娜紮、馮小剛、張天愛、謝霆鋒、吳孟達、郭富城、朱茵、孫紅雷、邁克爾·詹姆斯·歐文……等都曾代言過這款遊戲。
此外,因《貪玩藍月》是一款傳奇類遊戲,主打情懷牌,也将使用者精準定位在了35~40 歲的消費人群。
百度指數的資料顯示,搜尋“頁遊”的人群中,30—39歲之間的占到55%,男性占到85%;江蘇、廣東、浙江是搜尋前三的省份,人群多分布在東部沿海、經濟相對發達的地區。而網頁遊戲開服資料中心(以下簡稱“開服資料中心”)統計同樣顯示:經濟條件較好的中年男性,是此類遊戲付費的主流人群。
微網誌、知乎等平台上網友們分享的案例,也證明了這些資料。在知乎“為什麼類似貪玩藍月、傳奇霸業的頁遊能做到盈利,并且請得起數名明星代言”問題下,有自稱曾做過類似頁遊的網友透露,其服務的核心客戶裡很多都是中年土豪,甚至有的玩家甚至能每日充值2萬元,持續了近一年。
且貪玩藍月的玩法極其簡單:
不用人工操作,自動做任務、刷怪、更新戰力,遇到人就自動 PK ,誰戰力高、裝備好誰赢。
如果戰力不夠高、裝備不夠好也沒關系,隻要充錢就能有超高戰力、頂級裝備。
大咖代言,精準投放使用者,玩法簡單,一度讓《貪玩藍月》掌握了“财富密碼”。
據《貪玩藍月》官網公開資料,2016年12月 貪玩頁遊平台月流水突破7000萬,其中《貪玩藍月》單款遊戲月流水突破6500萬,高居聯運平台之首;2017年《貪玩藍月》單款産品日流水突破400萬,月流水突破6000萬;2017年10月 《貪玩藍月》累計流水突破7億。
另據統計,《貪玩藍月》2017年的年流水收入就已經超過了 10 億,吸金速度堪比印鈔。
但同其他遊戲一樣,《貪玩藍月》也面臨着諸多安全問題。
政策收緊,攻擊風險增多,貪玩藍月們不好“恰飯”了?
Newzoo 在2021年7月釋出的全球遊戲市場報告中指出,2021年的全球遊戲玩家數量已經邁過了30億大關,且有望在未來幾年迎來持續增長。報告中強調全球有28億使用者在移動裝置上玩遊戲。報告預測2021年全球遊戲市場将獲得1758億美元收入,其中移動遊戲市場的收入将增長4.4%至907億美元,占總收入的一半以上,預計2024年市場規模将達到2187億。
資料來源:Newzoo
如此龐大的市場佔有率,自然也成為了黑灰産的首要攻擊對象。
公開資料顯示,自2014年以來,流量攻擊持續走高。遊戲外挂、賬号被盜也深深地危害到使用者的資料安全。
據統計,有65%的使用者在遊戲體驗過程中遭受過遊戲賬号被盜、資料洩露、遊戲安全漏洞、外挂等網絡安全問題。調研中超4成的遊戲使用者認為國内遊戲産品在網絡資料安全層面的保障令人堪憂。
同時,巨大的市場空間也讓遊戲的種類越多越多,随之而來的是市場的強監管。
2021年4月26日,在國家網際網路資訊辦公室的統籌指導下,工業和資訊化部會同公安部、市場監管總局釋出《移動網際網路應用程式個人資訊保護管理暫行規定(征求意見稿)》(以下簡稱《規定》),對移動網際網路應用程式個人資訊處理活動作出專門規定。
其中,《規定》以“知情同意”和“最小必要”兩項個人資訊保護基本原則。強調遊戲App公司在遊戲相關隐私保護設計之時的權限索取必須克制。如果安裝過程中向使用者申請那些資訊,則需要明确說明。
一方面是政策監管不斷加強,一方面是遊戲行業被攻擊風險不斷增多,顯然,貪玩藍月們也不好“恰飯”了。
是以,最好的解決辦法是在保證合規的同時對App 進行安全加強。
頂象App 加強為遊戲App 保駕護航
所謂App加強 ,簡單說來就是對App代碼邏輯的一種保護。原理是将應用檔案進行某種形式的轉換,包括不限于隐藏,混淆,加密等操作,進一步保護軟體的利益不受損壞。iOS 和 Android 的實作有所差別,但是核心邏輯和思路,大體是一緻的。總之先了解破解的實作原理,再有針對性地加強APP,才能夠在一定程度上保證不被分析、破解。
針對遊戲行業的破解外挂問題,應從以下幾方面入手:
1、字元串加密:将App的源代碼中敏感字元串做随機加密處理。在運作時進行對字元串動态解密,這樣就可以避免攻擊者,通過利用工具進行靜态逆向分析發現關鍵字元串資訊,進而快速定位到應用中的業務代碼。
2、控制流平坦化:将so檔案中C\C++代碼中的執行控制邏輯變換為平坦的控制邏輯,從抽象文法樹層面進行深度混淆,使得其在常用反編譯工具中,極大的降低反編譯逆向代碼的可讀性,增加逆向代碼的分析難度。
3、符号混淆:對App應用中的類名稱、函數名稱進行混淆操作,增大直接用工具分析難度,讓反編譯逆向工具,無法直接通過類名稱、函數名稱進行快速定位App的核心代碼。
4、防動态調試:對App應用進行防調試保護、檢測到配置防動态調試功能的類、方法、函數被IDA逆向工具進行動态調試時候,App應用進行自動退出運作操作,有利于保護App應用直接被動态調試,進而提高攻防對抗的門檻。
5、防動态注入:對App應用進行防動态注入保護,當利用zygote或ptrace技術進行App應用的注入操作時,App應用進行自動退出運作操作,以此進行防禦攻擊方對App應用的非法操作,避免動态分析執行代碼,進而達到動态保護App應用安全。
6、HOOK檢測:對App進行防HOOK保護,檢測到配置防hook保護功能的類名、方法名、函數名在被frida、xposed等工具動态hook時候,App進行自動退出操作,以此進行提高防禦App安全性,保護App不被注入攻擊,抵禦惡意侵入。
7、代碼段檢驗:對App應用中的代碼段進行完整性校驗,發現代碼段被篡改,App應用進行自動退出運作,防止App應用中的代碼邏輯被篡改,以此進行動态保護App的源代碼安全性。
通過App加強技術不僅可以提高對逆向後的代碼閱讀難度、而且有利于降低App被破解、插入病毒、木馬、後門程式等惡意代碼的風險,同時也能增強使用者隐私資料、交易資料的安全性。并且,通過App加強技術,能夠幫助企業更好應對國家對App安全合規監管檢測的标準。