当移动互联网渗透到千家万户,与工业控制、智慧交通、实时社交、休闲娱乐紧密结合时,应用安全就变得尤为重要。

尤其在网络强相关的APP流行年代,当APP应用客户端上传与获取信息,大多通过接口在服务器双向通信,这很容易被第三方获取,导致数据盗取、接口盗刷,致使用户信息泄露,严重情况下将出现财产损失。而对于移动游戏而言,外挂工具、系统功能漏洞、服务器宕机漏洞等问题频发,也将大幅影响游戏内平衡,使用户体验下降。

可以说,无论是移动应用还是游戏,发生安全问题就如同打开“潘多拉魔盒”,不但可能危害用户切身利益,也同样会造成企业的损失。与此同时还会发生企业信誉危机,品牌口碑大幅下滑等一系列问题,最终使企业面临败局。

近期,腾讯安全联合实验室就曾在《2018上半年互联网黑产研究报告》指出,移动端黑产规模宏大,恶意推广日均影响用户超过千万。在瞬息万变的数字经济时代,信息安全已不只是一种基础能力,更是企业应用生产的驱动力之一,是所有“0”前面的“1”。这需要开发团队提高产品安全配置,更需要专业级安全服务加以助力。

应对市场的安全需求增长,2018年10月26日,在腾讯WeTest三周年之际,将全面升级旗下安全服务,除了一向擅长的手游安全服务外,也将首次推出移动应用安全服务。通过构筑全新安全梯队,帮助开发者专注安全,提升产品品质。

 

 

一、优化游戏安全解决方案:全力攻克外挂、系统安全漏洞、服务器安全漏洞三大难题

在移动APP中,游戏成为安全漏洞的重灾区。

目前,在超过千亿元(人民币)的手游市场中,有80%的游戏APP存在至少1个高位,手游行业每年因外挂、客户端&服务器漏洞、渠道推广作弊、不良内容传播等行为,遭受着超过几十亿的损失。

但对于游戏开发者来说相比游戏的其他问题,由于安全测试的门槛较高,经常会被手游开发者忽略。一些手游开发者会抱有“等出现了问题之后再去修复”的想法,而等到问题出现之时,往往为时已晚,安全问题已对游戏的收入、口碑已经产生了很大的影响。

因此,在三周年之际,腾讯WeTest游戏安全团队重新启航,依托于腾讯手游安全金牌团队10余年经验,针对上述四大游戏安全痛点,面向全生命周期推出手游安全解决方案。

腾讯WeTest手游安全解决方案

  • 阻断外挂侵害

谈到游戏安全,外挂成为最猖獗的隐患之一。

在目前的移动游戏市场上,正有30%+的产品正在遭受外挂的严重危害。外挂篡改游戏正常数值,使部分高价值道具可肆意盗刷,极大地损坏游戏公平性,迫使正常玩家流失,游戏厂商品牌口碑荡然无存。

30%+的产品正在遭受外挂的严重危害

对此,腾讯WeTest针对手游客户端推出全方位安全工具矩阵,通过手游加固、手游反外挂、客户端静态扫描、手游渗透测试等工具,防御对游戏客户端的恶意攻击、破解问题。

在技术优化层面,SR手游安全测试在腾讯WeTest重磅上线,该款手游渗透测试服务包含黑盒测试和灰盒测试两大测试方案。

黑盒测试,针对Unity3D、虚幻系列等市场主流引擎,完全模拟外网玩家和外挂工作室,从攻击者的角度对游戏进行逆向分析和破解,主动发现和挖掘系统中的弱点、技术缺陷和安全漏洞;

另一方面,通过灰度测试,腾讯WeTest将利用企业提供游戏协议结构文件,接入安全测试工具,进行缺陷放大和风险性评估,提前暴露游戏中潜在的安全风险。

此外,针对移动游戏开发者深恶痛绝、非常棘手的外挂隐患,腾讯WeTest接入MTP反外挂与手游加固方案,通过接入防外挂SDK,主动防御市面上通用修改器与变速器、精准判罚,一经发现,立即闪退。

  • 发现服务器漏洞

外网玩家和外挂工作室常出现“技术控”,对游戏进行逆向分析与破解,进行代币盗刷等恶意攻击,导致游戏服务器宕机,安全事故层出不穷。久而久之,不仅耗费游戏客服、策划、运营大量精力,更会缩短游戏寿命。

当游戏中道具购买数量变大时,将导致服务器宕机

因此,腾讯WeTest对症下药,重点接入SR安全团队的手游宕机漏洞检测服务,为游戏定制模糊测试工具,执行自动化宕机漏洞检测,大幅降低人力监测压力。

  • 阻断不良内容传播

随着内容驱动的信息战愈演愈烈,内容已经成为左右玩家体验的重要标准之一。然而随着游戏玩法逐渐复杂化、社交化,本来用于玩家之间互动的各类信息也被黑产钻了空子。

腾讯WeTest接入的MTP内容安全方案,依托人工智能技术,精准识别游戏中海量玩家昵称、签名、房间名、聊天内容以及头像等文本与图片信息,彻底阻断不良分子将色情、广告、涉政、暴恐四大类别信息非法植入。

文本内容安全监测应用场景

  • 防止渠道推广作弊行为

在游戏营销推广期间,一些渠道会对游戏使用作弊手段进行恶意刷量,导致部分厂商损失百万,白白浪费市场费用。

为满足游戏厂商反渠道作弊的需求,腾讯WeTest接入MTP渠道营销反作弊与iOS小额支付监测方案,全面监控渠道推广作弊行为,尤其针对新游戏上线、发布新版本、重要活动等影响游戏生命周期的重要时间节点提供详细数据报表,真正挽回推广损失。

渠道营销反作弊工具样例报告

二、构筑移动应用安全解决方案:客户端、服务器、认知三大防护,治标又治本

目前,在移动应用的客户端与网络服务器安全问题中,反向破解、盗版仿冒、信息泄露、传输数据泄露等隐患已经成为首要问题。尤其对于热门的金融、交通出行、社交等二级领域来说,倘若遇到恶意攻击,不仅会导致应用出现支付隐患,更会造成大量用户数据泄露与财产损失。

据腾讯云的统计,市面上金融APP每款产品平均存在65个漏洞,且23%为高危漏洞

因此,顺应云端大平台的开放,除了加强游戏安全配置外,腾讯WeTest将业务拓展至移动应用,在APP客户端安全、网络安全、认知安全树立三大防护罩,帮助开发者在应用研发与运营全生命周期内令安全防护最大化。

WeTest应用安全解决方案全景

  • 保卫App客户端安全

随着移动互联网行业高速迭代,产品研发人员倾注了大量精力开发出的产品,正遭受着盗版、篡改、二次打包的侵害,严重损害着项目利益。同时,本来用于保护应用核心源代码不被窃取的加固技术,竟成为很多病毒应用保护自己的恶意代码不被安全软件发现的手段。

对此,腾讯WeTest安全团队针对Android或iOS不同开发渠道,对移动应用客户端推出从安全检测到安全防护的双重防护方案。

其中,安全检测环节,WeTest不但提供代码扫描、漏洞、病毒、敏感词等静态资源扫描,同时也提供模拟用户行为的动态检测服务,更贴近实际业务需求。

安全防护解决方案

而安全防护中,则包括了“客户端加壳”和代码级的“源码混淆”两种方案。其中客户端加壳就是我们平时接触比较多的安全加固服务,而WeTest提供的加固服务再产品研发期帮助开发者对标不同产品能力进行加壳保护、so库保护、防二次打包、防注入,实现定制化应用加固,最大程度防止应用核心代码逻辑被逆向分析,保护算法及知识产权。这样一来,软件开发的管理人员即可便捷、准确地统计和分析当前阶段软件安全的风险、趋势,跟踪和定位软件安全漏洞。

而源代码混淆,则通过对C/C+/OC/OC++等源代码做逻辑分支混淆和控制流平坦化,实现对源代码及业务逻辑的隐藏加密,可用于协议、密钥生成,以及自研算法等核心代码的自动化混淆保护。

源码混淆效果对比图

  • 保卫移动应用服务器安全

当然,仅仅保证APP客户端的安全,还不足以抵抗所有隐患。随着色情、恶意应用分发等最赚钱的病毒迅速滋生,这些病毒普标标配云加载攻击技术来实现利益最大化,网络强相关的APP更应做到网络安全全面防护,规避传输数据泄露,降低用户支付风险。

对此,腾讯WeTest推出WEB通用渗透与业务逻辑双向的渗透测试服务

WEB通用渗透层面,WeTest不断抵御注入攻击、XSS跨站脚本攻击、文件攻击,保护协议与组件安全。

业务逻辑层面,WeTest对身份认证、业务数据、用户输入、验证码、业务授权&接口安全实时监测,针对Android与iOS 不同特征,支持静态分析与动态监测双重引擎。从代码逻辑、数据存储、网络通信等方面,快速准确地定位APP的安全漏洞、判断是否存在恶意、违规行为并提供相应的整改建议。

  • 重塑认知安全:帮助开发团队树立安全意识

在企业中,操作人员的安全意识不足同样也会造成一些黑客的可乘之机。因此,腾讯WeTest推出安全咨询、安全培训、整包服务等业务安全项目。可以整体提升企业员工的安全意识,维护企业业务安全。

三、从技术量变达成品质飞跃,WeTest将与开发者一同专注安全攻坚战

2018年10月26日,腾讯WeTest将正式迎来三周岁生日。三周年庆典期间,只要在WeTest平台注册的用户,均可免费体验标准兼容、云真机、压测大师、手游安全扫描、应用安全扫描等五大服务,更可享用总价值最高达45100元(人民币)的代金券。其中包含手游安全研发版20000元、应用安全体验包8000元、应用加固安卓专业版3600元等安全类服务代金券。旨在以低价格、高品质为目前的游戏与移动应用产品护航,以此促进整个行业生态良性发展。

腾讯WeTest三周年感恩回馈活动

十年探索,三年同行,基于腾讯系游戏产品出发,腾讯WeTest逐渐在APP的安全防护上积攒经验,目前游戏安全解决方案已应用于《九州天空城3D》《穿越火线:枪战王者》《梦幻诛仙手游》等多款星级游戏产品,覆盖超过200个安全风险项目与3700多个漏洞项目。

从游戏到应用,WeTest的安全攻坚之路还将持续。在未来, WeTest将在如团购电商、交通出行、移动支付等更多热门应用场景提供安全服务。专注安全,以品质应万变。

三年同行,质造未来,点击:https://wetest.qq.com/activities/birthday2018 前往庆典首页,万元金券限时发放。

如果使用当中有任何疑问,欢迎联系腾讯WeTest企业QQ:2852350015

打造移动应用与游戏安全防线,腾讯WeTest安全服务全线升级的更多相关文章

  1. 腾讯WeTest兼容服务再次升级,支持小程序兼容

    WeTest 导读 小程序作为微信内能被便捷地获取和传播的工具,吸引着越来越多的开发者加入其中.无论是小游戏.零售.出行服务还是生活餐饮等,各行各业的小程序出现在用户的手机上,在给用户带来便利的同时, ...

  2. 三年同行,质造未来,腾讯WeTest五大服务免费体验

    WeTest 导读 2018年10月26日,腾讯WeTest将正式迎来三周岁生日.三周年庆典期间,只要在WeTest平台注册的用户,均可免费体验标准兼容.云真机.压测大师.手游安全扫描.应用安全扫描等 ...

  3. Hi,腾讯WeTest联合Unity官方打造的性能分析工具UPA,今日全新发布!

    早在2016年ChinaJoy开始,WeTest曾受邀出席过Unity中国的线下性能场的活动,介绍我们的自动化框架和王者荣耀的故事.当时的活动很成功,期间我们收到了不少Unity开发者的好评,也为我们 ...

  4. 打造游戏金融小程序行业测试标准腾讯WeTest携各专家共探品质未来

    在获客成本不断上升的时代里,产品品质愈发是互联网应用的决胜标准.随着用户需求更加多样,开发者不仅要深挖应用功能,更需要面向业务所在领域,建立全面.专业的测试架构,掌控开发进度.提高开发效率,才能在互联 ...

  5. 建一座安全的“天空城” ——揭秘腾讯WeTest如何与祖龙共同挖掘手游安全漏洞

    作者:腾讯WeTest手游安全测试团队商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处. WeTest导读 <九州天空城3D>上线至今,长期稳定在APP Store畅销排行的前 ...

  6. 腾讯WeTest发布《2017中国移动游戏质量白皮书》,专注手游品质提升

    1月8日,腾讯质量开放平台WeTest正式发布<2017中国移动游戏质量白皮书>. 刚刚过去的这一年,市场逐渐成熟,中国移动互联网由增量市场转向存量市场.中国移动游戏市场急剧变化,真正的精 ...

  7. 改革春风吹满地,安卓新系统Q上线腾讯WeTest

    “刚要适配安卓派,Q就来了.” 3月14日谷歌推出了期待已久的Android Q的首个测试版本Android Q Beta 1 ,这是Android系统推出以来的第十个大版本. 安卓Q相比之前的版本, ...

  8. 【免费培训】腾讯WeTest&TesterHome WorkShop | 一起学压测

    2019年,中国移动软件市场仍呈现快速增长趋势,移动新生态孕育而生.而移动软件质量问题越发受到用户的关注,成为用户体验的关键因素.目前移动软件测试人才稀缺,而性能测试作为一项高门槛.高技术的测试能力, ...

  9. 质造未来,首届腾讯WeTest技术交流开放日成功举办

    WeTest 导读 北京时间12月21日下午1点整,2018年度腾讯WeTest技术交流开放日在上海举办.盛大.巨人.电魂.bilibili.方趣等十余家来自不同优秀企业的测试技术负责人均来到现场,共 ...

随机推荐

  1. 【xampp】windows下XAMPP集成环境中,MySQL数据库的使用

    在已经安装了XAMPP之后,会在你安装的目录下面出现”XAMPP“文件夹,这个文件夹就是整个XAMPP集成环境的目录. 我们先进入这个目录,然后会看到带有XAMPP标志的xampp-control.e ...

  2. 4springboot:日志(上)

    1.主流的日志框架 2.SLF4J使用 如何在系统中使用SLF4j https://www.slf4j.org 以后开发的时候,日志记录方法的调用,不应该来直接调用日志的实现类,而是调用日志抽象层里面 ...

  3. Pyplot教程(深度学习入门3)

    源地址:http://matplotlib.org/users/pyplot_tutorial.html .caret, .dropup > .btn > .caret { border- ...

  4. HDU 2079 选课时间(普通型 数量有限 母函数)

    传送门: http://acm.hdu.edu.cn/showproblem.php?pid=2079 选课时间(题目已修改,注意读题) Time Limit:1000MS     Memory Li ...

  5. Etherlab debian安装记录

    debian wheezy 7.11(虚拟机安装选择桥接网卡) #set ustc source #apt-get install sudo #nano /etc/sudoers;add userNa ...

  6. 创建oracle数据库表空间并分配用户

    我们在本地的oracle上或者virtualbox的oracle上 创建新的数据库表空间操作:通过system账号来创建并授权/*--创建表空间create tablespace YUJKDATAda ...

  7. oracle 12如何解锁账户锁定状态及修改忘记的密码

    有两种方法,大同小异吧,感觉命令真是个好东西,哈哈哈哈,挽救了我安了4次才安好的oracle!!! 方法一: 1.如果忘记密码,找到忘记密码的是哪个用户身份,如果用户被锁定,可以使用下面说的方法解除锁 ...

  8. 02 看懂Oracle执行计划

    看懂Oracle执行计划   最近一直在跟Oracle打交道,从最初的一脸懵逼到现在的略有所知,也来总结一下自己最近所学,不定时更新ing… 一:什么是Oracle执行计划? 执行计划是一条查询语句在 ...

  9. 初窥UIKit Dynamics

    原文来自这里. iOS7中可以方便的给物体添加动态物理特性,主要使用到UIDynamicAnimator,UIDynamicBehavior以及实现了UIDynamicItem协议的对象.在iOS7中 ...

  10. Elasticsearch插件安装

    从github获取插件包例如Head git clone git://github.com/mobz/elasticsearch-head.git 在elasticsearch安装目录中创建插件存放目 ...