移动游戏开发攻城狮们指尖上的安全

各类智能移动终端的快速普及，似乎在将人们带入一个全民娱乐的时代，在智能移动设备上看小说、看电影、听音乐、玩游戏……还记得风靡一时的手机版“植物大战僵尸”么？还记得那只“愤怒的小鸟”么？

美丽手游APP市场背后的危机

来自艾瑞咨询的调查数据显示，2014年中国移动游戏数量总体呈上升态势，最多时一个月有超过4000款移动游戏上线。预计到2017年中国智能移动终端游戏用户数量将突破5亿，游戏用户渗透率将达到70.1%，全民游戏的时代即将到来。

看到如此诱人的数据，游戏开发攻城狮们怎能不仰天长笑“如此之美好时代，我辈更需努力奋斗”，于是乎，行云流水间，攻城狮们的指尖下在谱写出更多的游戏代码。可是(万恶的“可是”来了)，那一款款耗尽攻城狮们心血精心打磨出来的手机游戏，那一款款能够给忙碌穿梭于水泥钢铁“森林”里的人们在碎片化的时间块中带来快乐、放松身心的手机游戏，正在被越来越对的骇客们盯上，他们垂涎欲滴，他们已经张开了血盆大嘴!

知道么，有数据显示，2014年新增手机病毒100.33万个，资源消耗类病毒占总数的53.9%，隐私窃取类病毒占总数的16.5%，而超过70%的病毒下载来自于手机市场。在Android系统里，支付类病毒依然是病毒类型的主体，而只占2%的短信劫持类病毒竟然感染了近26%的用户。号称“很安全”的iOS系统所被发现的漏洞数量也在与日俱增，信息泄露、机制绕过、代码执行这三类漏洞占据了iOS系统漏洞分类的前三甲。

2014年9月工信部/公安部查处窃密恶意应用时，从70万APP中发现9万多恶意应用，平均比例为12.6%，部分渠道比例超过16%。更可怕的是，300多个应用市场超过80%在下载页面没有显示APP是否通过安检。而且这些渠道也没有用户账号体系，大多数是通过爬虫抓取上线。另外，绝大多数需要用户账号登陆、提交或下载APP的论坛也都没有APP安检。APP分发下载渠道(应用商店)混乱状况严重于斯。

恶梦还没有结束，移动应用的盗版问题更加严峻。例如，各大应用商店共有514个狼蚁网络推广APP，但其中79个是假的。而捕鱼达人的盗版率更是高达29.78%，各大应用商店共有511个捕鱼达人APP，其中162个是假的非官方版本，而捕鱼达人APP的用户数量已经超过了1亿，这意味着可能有数千万用户的智能手机上安装的是盗版捕鱼达人APP。

古时有人云“苛政猛于虎也”，而今对于各位移动游戏开发攻城狮、码农们而言“病毒、盗版猛于虎也”!

APP安全风险的破坏力

Gartner预计，2015年75%的移动应用将无法通过最基本的安全测试。而据梆梆安全统计，目前常见的APP安全风险包括：二次打包和反编译、不安全的数据存储、传输层保护不足、意外的数据泄露、授权认证较弱、破解密码算法、客户端注入、通过不可信输入的安全决策、Session会话处理不当、缺乏二进制文件保护等。各位攻城狮、码农们是否已经感觉到背后有冷风刮起？!

还不相信么？那么再看看狼蚁网站SEO优化的几条“条件判断语句”吧。

IF APP被篡改二次打包 THEN 收费游戏将变“免费”

精心打造的手游，用户正多、收费蒸蒸日上之时，手游APP被篡改，收费模块被“跳”过，用户可以Free玩手游了。攻城狮们辛苦的付出没有了回报，这样的“手游APP”要得么？

实际上，由于现在国内的Android市场混乱，加之二次打包技术门槛很低，大多APP在开发过程中又都没有做与之相关的保护操作，导致二次打包及篡改在国内APP应用中十分普遍。

让收费手游变免费对于这些篡改者们已经是小意思了，往里面插入广告赚些广告费，植入病毒木马搜集用户个人数据、隐私信息，这些也算轻的，更有甚者搜集用户银行账号密码、信用卡信息，窃取账户发动中间人攻击，篡改服务器地址发起钓鱼攻击。好好的一款手游APP不仅不能给开发者带来奖金，反倒成为了恶意攻击者的“帮凶”。

IF APP修改器、外挂漫天飞 THEN 移动世界里的“公平”将不复存在

如果说PC上的各类游戏修改器、外挂其影响范围还仅仅是让人们体验下“狂虐”NPC的快乐，那么移动端上的外挂会让一切“秒杀”促销活动都变成天大的笑话，公平性在移动世界里将荡然无存。

IF APP支付被劫持 THEN 用户将遭遇巨额的金钱损失

对于恶意攻击者们而言，没有进行专业安全加固的APP很容易实现劫持操作。恶意攻击者只需要通过劫持网络传输函数，在数据加密前动态修改提交到服务器的交易请求，比如收款人账号、收款人姓名、转账金额，那么本应付给攻城狮和码农们的费用就会悄然流进恶意攻击者的口袋里。用户和开发者都遭受了损失，唯独恶意攻击者渔翁得利。

相信看到这里后，各位攻城狮、码农、开发者们都已经冷汗连连了吧。开发出一款手游APP，非但没能获得应有的收益，反倒带来如此多的麻烦，满满地负能量啊。

在今年ChinaJoy的中国游戏开发者大会(CGDC)上，梆梆安全解决方案总监卢佐华女士对移动游戏安全生态的解读则让攻城狮们看到了希望。只有在一款移动游戏应用从其开发、检测、发布到使用这一生命周期内的每个环节都实施相应的安全防护，才能将恶意攻击挡在门外，充分保护开发攻城狮们的权益。

手游APP从反作弊开始

比如说手游作弊的问题，这主要是由于APP代码本身没有得到有效保护，协议容易被逆向，不能有效防范各种动态注入和调试攻击。而当前的一些防作弊SDK自身又缺乏保护，容易被绕过。加之防作弊功能对用户移动终端的耗电量和游戏体验的影响。种种因素导致了手游的防作弊难。

而梆梆安全的手游防作弊SDK采用了基于应用图标、资源文件、代码、程序框架等多维度相似性识别技术，对变形伪装和二次开发后的作弊器能进行有效识别。SDK所使用的特征库及相似库可根据游戏需要进行动态自动更新。梆梆后台大数据系统会对市面出现的所有作弊器采用机器学习和自动识别的方式，提取其信息，不断补充相似库和特征库，以配合客户端进行有效防范。而梆梆安全所拥有的庞大作弊器特征库，会通过与各大网游公司交流以及技术运营等方式发现市面最新最全的游戏作弊器。通过不断补充特征库，保证第一时间识别最新的作弊器。

另外，梆梆安全防作弊SDK不仅会保护游戏免受作弊器和恶意行为的攻击，还会将游戏运行过程中遭受到的攻击行为上传至服务器并形成统计分析报告。

移动应用安全测评做到攻击开始前

想知道自己开发完成的手游APP是否安全，是否存在安全缺陷，也简单，梆梆安全的移动应用测试云服务平台，能够自动对APP进行安全检测，也可以根据开发者的需求由其专业的安全猿们实施更为深入、定制化的安全评测。

移动应用APK安全检测、风险评估、漏洞扫描，一键提交全部搞定。最后所生成的专业安全测评报告中将明确指出移动APP的哪些地方存在怎样的风险，甚至会告知解决方法。

打铁还需自身硬：快来加固吧