2013年手游行业的规模与收入均实现了大幅增长,发展势头强劲。权威数据显示,我国移动游戏市场实际销售收入从2012年的32.4亿猛增到2013年的112.4亿元,同比增长了246.9%,手游用户从2012年的8900万迅速增长到2013年的3.1亿,增长幅度高达248.5%。巨大的用户数和迅猛的用户增长速度正使我国成为手机游戏大国。
然而,在手游高速发展的同时,由于监管、审核等方面存在着漏洞,手机游戏软件被破解后注入恶意代码、盗取用户财产、窃取用户设备信息的现象屡见不鲜。如今,种类繁多的手游App市场,繁华背后暗藏多重隐患,致使手游App背上了“吸金炸弹”的罪名。
《2048》引发的“连锁反应”
《2048》是一款现象级的游戏,其在全球的风靡程度甚至超越了《FlappyBird》,有超过2300万人玩过或者正在玩这款游戏。然而,大多数《2048》的玩家却并不知道,他们在手机上所玩的《2048》其实并不是原版的《2048》,而是一款抄袭原版《2048》的游戏。甚至连原版的《2048》本身,也是一款抄袭《Threes!》的游戏。
目前风靡全球的这一款《2048》最大的特点就是通过游戏内悬浮的广告条赚钱,对玩家免费。凭借这一点,《2048》便高居AppStore游戏免费榜首,而《Threes!》由于售价1.99美元则位居AppStore游戏收费榜第八名。
《Threes!》有出色的游戏创意,出色的游戏体验,还有先发优势,然而拥有这些的《Threes!》却在竞争中输给了山寨版手游App《2048》。因此,《2048》的巨大成功让年仅19岁,代表未来游戏制作人希望的网页版游戏《2048》制作者GabrieleCirulli失望不已,也导致《Threes!》的开发者AsherVollmer和GregWohlwend这两位优秀的游戏制作人退出了手游界。
业内专家均认为,《2048》的成功背后带来的更可怕的后果是给整个手游App产业的良性发展蒙上了阴影,它会给手游App开发者传达出这样一个错误的信息:既然山寨抄袭就可以成功,那开发者又何苦费尽心机去创新呢?
手游App破解的三宗罪
小编连线国内专注于移动安全领域的爱加密(www.ijiami.cn)技术总监林魏先生后得知,黑客将手游App破解后,会采取以下行动:将热门游戏改头换面,变成山寨版本上传应用市场;注入恶意代码,窃取用户隐私或随意扣费;植入广告,强行推送广告,赚取广告费。
首先,是屡禁不止的游戏山寨问题。“山寨”这两个字在我国由来已久,并且山寨之风早已顺势蔓延到了手游领域。去年,我国手游市场爆发了一场盛况空前的手游抄袭战争,手游被破解之后,内部资源文件被盗取,导致开发者投入大量精力开发的创意成果,变成了“免费的游戏”,收入急剧下降。因此,业界将今年称为手游圈的“知识产权年”来积极应对山寨这种不良之风。
其次,是注入恶意代码。据安全专家介绍,热门的手游经常会被病毒制造者盯上,植入恶意代码后二次打包成新的应用,通过一些不安全的应用市场进行传播。黑客利用这些恶意代码对用户的手机进行远程操控,实施替换或删除用户手机中的相关数据,窃取用户隐私后偷偷上传,下载收费软件,拨打指定电话等危险操作。如前段时间很热门的Flappybird手游就遭遇了病毒注入,被篡改后的版本申请了收发短信、后台下载软件等多种权限,一旦被运行,就会偷发扣费短信、后台下载推广应用,直接造成用户话费损失。
最后,是植入广告。据爱加密林先生透漏,黑客将手游App破解后,用自己的广告SDK置换掉软件内置的广告SDK,这些广告会以悬浮窗提醒、通知栏提醒、广告展示等多种形式出现在用户的手机中,诱导用户点击,之后黑客、打包党与非法广告渠道商三方对用户点击广告、后台下载软件产生的非法推广利益进行分成。通过这种方式可以实现迅速盈利,有数据显示,一个10人左右的打包团队通过这种盈利方式,每个月的纯利润可以达到150万元。
“在2014第九届游戏项目交易会上作为特邀嘉宾,爱加密曾为现场的开发者朋友以手游App破解为例,进行了移动应用安全的专题演讲。其实,黑客破解手游App现象愈演愈烈的背后,是巨大的灰色利益链在作祟,其暴利的赚钱模式让很多黑客不惜铤而走险。”林先生说。
保护手游App需量身打造安全方案
我们不妨从技术的角度对黑客的行为进一步了解,让大家更加清晰的看到黑客是如何针对一个游戏类App的各个方面来进行破解。从爱加密林先生为我们提供的资料中看到,为了使手游App的安全方案更有针对性,爱加密技术人员通过对黑客的破解行为进一步细分,共包含:游戏内购破解,游戏资源文件篡改,模拟器运行,游戏脚本录制,游戏内存修改,游戏中使用加速器,游戏账户、密码、本地存档等隐私数据转存和篡改,恶意代码注入、广告修改、WPE刷量、游戏规则修改、第三方支付SDK漏洞挖掘等。
其中,游戏内购破解、内存修改、第三方支付SDK漏洞挖掘是指破解者通过篡改游戏源码、内存等方式,使得游戏内部本来需要付费购买的道具、金币等资源,变成了免费的,像神庙逃亡2无限金币版就是这种情况,开发者赖以盈利生存的收费门槛被打破归零,严重降低了手游App开发者的收入。
游戏资源文件修改是指破解者通过逆向分析应用中源码,对apk中资源文件的修改,改变了游戏背景音乐、文字、图片、人物、地图等信息,插入广告、病毒或抄袭之后变成山寨版本。
WPE刷量、模拟器运行、游戏脚本录制、广告修改、游戏规则修改、存档修改等种种破解方法则是通过对手游App内的种种限制进行修改、去除。修改之后应用中本该属于自己的广告收入却落入篡改者手中、只能领取一次的游戏礼包却可以无限制领取、需要满足条件才能开放的关卡变得简单易得等等,开发者有关游戏规则的限定统统被打破,这一方面降低了游戏App对用户的挑战性和吸引力,使App面临生存威胁,另一方面则直接降低开发者的产品收入。
注入恶意代码,游戏账户、密码、本地存档等隐私数据转存和篡改,则是破解者通过静态注入的方式向APK中直接添加恶意代码或病毒,窃取用户的私人信息和财产来据为己有或进行非法出售。
针对这些恶意行为,简单的保护已难以保证手游应用的全面安全,应当针对不同手游应用的防护重点来进行不同方面的保护,像爱加密就专门针对手游类app的安全防护制定了一套确实有效的保护方案。首先,爱加密提供针对性的安全评估及处理建议,进行源码保护、APK防止二次打包、so库加密三项基础服务保证游戏APK静态状态下的绝对安全。其次,爱加密安全分析人员会参考《爱加密手游行业评估方案》对APK进行深入研究,总结游戏APK漏洞信息,针对性的制定该游戏APK的安全解决方案。
手游类App通过专属的手游App安全解决方案,可以有效防止解包、打包、源码转译,从根源处杜绝二次破解的发生;防止一切情况下的静态破解和动态注入;防止第三方脚本软件、加速软件、截屏软件;防止模拟器运行;保护游戏内部广告、规则、支付SDK安全;保护本地储存数据安全。
手游App山寨破解的三宗罪:背后产生灰色的产业链!