2013年手游行业发展势头开始越显强劲,手游开发者的规模与收入均实现了大幅增长。但是,在手游高速发展的同时,由于手游行业的快速的发展,一些问题,例如手游App破解、盗版也日益凸显。手机游戏软件被破解后注入恶意代码、盗取用户财产、窃取用户设备信息的现象屡见不鲜。2014年1月,台湾易游网络有限公司旗下代理的金庸授权武侠手机游戏《神雕侠侣》在香港地区透过打怪掉落领取到的7-Eleven$20(港币)电子现金券,3小时内被黑客恶意刷走价值20万港元的货品。同年2月,一个名为Ethical Spectrum的黑客入侵了游戏《部落战争》所属Supercell公司的Facebook账户,散布了Supercell内部的用户和收入数据。
手游开发者面临APK破解难题
为了让大家更加清晰的看到黑客是如何针对一个游戏类App的各个方面来进行破解,小编从黑客的角度来进行进一步的分析。从爱加密林先生为小编提供的资料中看到,为了使手游App的安全方案更有针对性,爱加密技术人员通过对黑客的破解行为进一步细分,共包含:游戏内购破解,游戏资源文件篡改,模拟器运行,游戏脚本录制,游戏内存修改,游戏中使用加速器,游戏账户、密码、本地存档等隐私数据转存和篡改,恶意代码注入、广告修改、WPE刷量、游戏规则修改、第三方支付SDK漏洞挖掘等。
其中,游戏内购破解、内存修改、第三方支付SDK漏洞挖掘是指破解者通过篡改游戏源码、内存等方式,使得游戏内部本来需要付费购买的道具、金币等资源,变成了免费的,像神庙逃亡2无限金币版就是这种情况,开发者赖以盈利生存的收费门槛被打破归零,严重降低了手游App开发者的收入。
游戏资源文件修改是指破解者通过逆向分析应用中源码,对apk中资源文件的修改,改变了游戏背景音乐、文字、图片、人物、地图等信息,插入广告、病毒或抄袭之后变成山寨版本。以《愤怒的小鸟》为例,破解者将资源文件改换后,变成了愤怒的企鹅、愤怒的熊猫、愤怒的小鸟森林版等相似游戏,官方版本远不如山寨版本多。据金山毒霸统计:保守计算每天约有超过2万网民下载到山寨版愤怒的小鸟。
WPE刷量、模拟器运行、游戏脚本录制、广告修改、游戏规则修改、存档修改等种种破解方法则是通过对手游App内的种种限制进行修改、去除。修改之后应用中本该属于自己的广告收入却落入篡改者手中、只能领取一次的游戏礼包却可以无限制领取、需要满足条件才能开放的关卡变得简单易得等等,开发者有关游戏规则的限定统统被打破,这一方面降低了游戏App对用户的挑战性和吸引力,使App面临生存威胁,另一方面则直接降低开发者的产品收入。
注入恶意代码,游戏账户、密码、本地存档等隐私数据转存和篡改,则是破解者通过静态注入的方式向APK中直接添加恶意代码或病毒,窃取用户的私人信息和财产来据为己有或进行非法出售。
爱加密助手游开发者加固APP,守护开发成果
针对这些恶意行为,简单的保护已难以保证手游应用的全面安全,应当针对不同手游应用的防护重点来进行不同方面的保护,像爱加密就专门针对手游类app的安全防护制定了一套确实有效的保护方案。首先,爱加密(www.ijiami.cn)提供针对性的安全评估及处理建议,进行源码保护、APK防止二次打包、so库加密三项基础服务保证游戏APK静态状态下的绝对安全。其次,爱加密安全分析人员会参考《爱加密手游行业评估方案》对APK进行深入研究,总结游戏APK漏洞信息,针对性的制定该游戏APK的安全解决方案。
手游类App通过专属的手游App安全解决方案,可以有效防止解包、打包、源码转译,从根源处杜绝二次破解的发生;防止一切情况下的静态破解和动态注入;防止第三方脚本软件、加速软件、截屏软件;防止模拟器运行;保护游戏内部广告、规则、支付SDK安全;保护本地储存数据安全。
APP安全环节缺失,爱加密助手游开发者克服APK破解难题