业务安全中的移动端安全攻防对抗

风铃Cipher
856 阅读7分钟

写在前面

什么是业务风控?chatgpt给出的回答是:“业务风控(Business Risk Control)是指为了保护企业的安全和稳定运营,采取一系列的策略、措施和技术手段来识别、评估、管理和控制业务运营过程中出现的各种潜在的风险和威胁。业务风控的主要目的是确保企业健康稳定地发展,并能尽可能减少经营风险,提高经营安全性和业务效益。通常业务风控包括但不限于制定风险管理政策、建立风险评估体系、实施风险预警与监测、建立应急预案等。”

通俗点来讲就是公司得业务上为了对抗黑灰产作弊而做出的防护手段,保证业务生态的和谐稳定。在互联网中各个行业或多或少都存在作弊行为,这些作弊给公司业务生态带来极大的恶性影响,比如:

  • 游戏外挂作弊,会导致用户游戏体验急剧下降,从而导致用户的流失。如果某个游戏大部分用户都在使用外挂,那对游戏体验将会是个打击。
  • 短视频直播作弊,包括录播,数字人直播,违法内容直播等等,这些都会影响到整体的用户体验,如果没能做到及时发现并制止这种行为,那将会影响到主播的积极性,从而影响整个生态的健康发展。
  • 电商抢单作弊,利用作弊工具优先抢夺廉价优质商品,让正常用户不管怎么拼手速都无法对抗得了外挂,从而降低用户再次抢购的积极性。
  • 账号劫持作弊,即盗号行为,盗取用户登陆状态,伪装成正常用户去执行一些欺骗操作,如去关注/点赞陌生人账号(常见于买卖粉丝),通过聊天欺骗朋友等行为。这些严重影响用户自身利益,若治理不及时,会带来严重后果。
  • 拉新作弊,黑灰产利用改机等技术手段,伪造新设备,同时购买可用于接收登陆短信的手机号(几块钱即可买到),就可以伪造成新的用户,从而能够获得新用户奖励。如目前的抖音/快手等app拉取一个新用户可获得20+人民币,这类作弊行为若不能及时治理,会给公司带来极大的经济损失。
  • 破解包作弊,黑灰产通过植入恶意代码或者篡改原app逻辑,达到各种作弊的目的,比如去除app中的广告内容,使得用户可以不用看广告就能正常使用app(如番茄小说app),这给公司带来一定的经济损失。
  • 网络爬虫,如淘宝/pdd等商品信息内容爬取,抖音视频内容爬取等,这些都爬虫攻击不仅会对公司服务器资源造成负担,还会导致公司信息的泄漏。
  • 众包,群控,财经洗钱等等,这些作弊行为都是需要使用业务风控体系来治理,从而保障企业的合法利益,建设健康的生态环境。

本系列将会针对每一种类型的作弊以及所使用到的技术点做详细讲解与复现,让读者对这些作弊有清晰的认识。再而指出与之相匹配的对抗手段,系统地对整个体系中的攻防对抗做尽可能详细地描述,让读者能够深刻体会攻防对抗中的奥妙。

风控体系

端能力

  • 端风险识别,识别设备风险信息,包括root,模拟器,代理,改机等风险。
  • 验证码,用于人机认证,确保是真人操作,包括:短信验证,图形验证等。
  • 设备画像,采集设备信息,以及生成设备指纹。

数据能力

  • 情报感知,时刻关注并收集市面上存在的黑灰产作弊手段及工具,包括:qq/微信群,闲鱼,拼多多,论坛等地方可能出现的黑灰产售卖作弊工具的渠道。
  • 黑库建设,持续建设黑设备库,黑账号库,黑手机号码库,黑图像视频库等,以便于快速感知并发现异常行为。
  • 画像数据建设,持续建设设备/用户信息相关的画像数据,并对黑白设备/用户进行分类,可用于模型训练,以及黑库建设。

算法模型能力

  • 视频内容检测模型,使用算法模型来识别违法违规的视频内容。
  • 评论内容检测模型,使用算法模型来识别违法违规的评论内容。
  • 用户行为检测模型,使用算法模型来识别异常的用户行为,如设备传感器异常,长时间处于同个角度等。
  • 恶意软件检测模型,使用算法模型来识别恶意软件,及时预知风险,如通过黑白用户的软件列表的挖掘,来发现异常恶意软件。
  • 等等。

蓝军攻防能力

蓝军从外部视角对自身风控体系进行持续攻击,及时发现存在问题,并基于建设性建议。 特别是某些大型活动举办前,需要蓝军先尝试利用各种作弊手段,攻击对抗目前的风控系统,提前发现可能存在的问题。

平台能力

策略决策平台,需要将对“端能力”,“数据能力”,“算法模型能力”一起输入到策略决策平台,通过配置策略,来输出相应的决策。策略如下:

“端能力检测到改机风险”或“数据能力发现黑设备”或“算法模型能力检测到安装了恶意软件”,则不允许用户登录。

上面例子中“不允许用户登录”为最后的决策结果,平台需要将决策的结果告知业务方,来指导业务方对当前用户做登录拦截操作。

整体框架

image.png

移动端安全攻防

整个风控体系中,因为移动端是黑灰产唯一能够触碰到的环节,因此移动端安全是对抗最为激烈的战场,所有的作弊手段都是围绕着移动端展开,各种各样的攻击手段层出不穷,给业务风控体系带来极大的挑战。该系列将会重点围绕着端安全逐步展开,对各种攻击以及防护手段做详细讲解。

Android移动端安全是一个庞大的知识体系,不过不用怕,我们将会从具体事例开始,先从攻击者角度出发,来复现各种作弊场景,进而指出对应的防护手段,在这过程中会逐步介绍相应的知识点。 image.png

目前会从简单到困难逐步介绍下面几类作弊手段:

  1. 模拟点击与群控,该部分会涉及模拟点击,辅助工具开发,能够实现某视频app自动点赞关注,以及电脑操作控制设备。
  2. 地理位置伪造,该部分会讲解一些hook工具的使用,包括xposed,frida等,并利用这些工具实现地理位置篡改。
  3. 摄像头hook与录播,该部分会继续介绍hook技术,并利用摄像头hook实现录播操作。
  4. 设备指纹与改机,该部分会涉及设备指纹的用法与生成逻辑,同时会介绍软件改机与系统改机方案。
  5. app破解与反破解,该部分会涉及内容会比较多,包括:app反编译,app加固与反加固,ida动态调试,
  6. 逆向与(反)爬虫,该部分介绍混淆与反混淆,逆向还原算法,接口签名等技术。
  7. 技术研究,多开技术,ebpf,seccomp等等,后续再持续更新。
avatar
文章
阅读
粉丝