Pokemon Go越紅公司損失越大! 歷時兩年開發,上市不到72小時就被駭
韓國移動推廣廠商IGAWorks發布報告表示,77.7%的手遊佔據暢銷榜的時間為90天,也就是只有短短3個月,而最近火紅的Pokemon Go,據美國資安業者Proofpoint發現上市不到72小時,就已經有很多惡意程式伴隨著遊戲安裝到來。
Pokemon Go花費了兩年的時間,投入大量開發成本與資源,上線不到三天就被駭,不但流失大量客戶,還背負著洩漏用戶個資的汙名,還沒在排行榜上站穩腳跟,卻已經在流失公司的名譽與收益。
Pokemon Go經過駭客的二次打包,讓用戶下載到感染程式,駭客於程式中添增了知名的DroidJack遠端存取工具,一旦使用者安裝了已遭竄改的Pokemon Go,駭客便可自遠端操控裝置,可以獲取用戶Google Drive 雲端裡的所有檔案,包括已經刪除的;調取你的搜尋紀錄,包括地圖裡的導航紀錄;看任何你在 Google Photos 裡備份的照片,包括隱私照片;了解或修改其他各式各樣的資料;登入其他用 Google 帳號登入的服務。透過更改GPS設定,在非開放地區也能使用,可能導致伺服器爆滿,開放地區玩家無法登入遊戲,造成大量客訴等現象。
好不容易開發一款大紅大紫的遊戲,卻馬上面臨財務的損失,和玩家對產品的不信任,APP上架前應該要先做好以下防護措施,才能避免駭客入侵:
1.防止原始碼外洩
原始碼是否可以反編譯? 駭客透過程式碼的解讀可以發覺漏洞並展開攻擊,一般開發者會使用程式碼混淆技術,但程式碼混淆並不能真正阻止逆向工程,只能增大其難度。因此,對於對安全性要求很高的場合,僅僅使用程式碼混淆並不能保證原始碼的安全,而混淆太過也會造成開發人員無法偵錯。
最好的方式是把程式碼挖空處理,無法查看完整原始碼,也無法加入或移除程式碼,也不會對開發人員造成無法辨識的問題。
針對遊戲開發者常用的遊戲引擎Unity3D及Cocos2D,應該要針對Dll及So檔案進行加密,以防止遊戲程式碼遭到反組譯。
2.阻擋Debugger防止遊戲外掛
Android平台存在大量的遊戲修改器、病毒木馬等APP,這些APP會竊取使用者資訊、修改記憶體資料,造成使用者和開發者經濟損失,必須確保透過監控及防護技術來阻擋APP遭到植入惡意程式碼,使Debugger、遊戲修改器及ptrace等工具完全失效。
3.防止APP遭篡改
受歡迎的手機遊戲在網路上常常會存在各式各樣的修改版、破解版或解鎖版apk檔案,這些檔案都是經過駭客加工修改然後二次打包製作而成的apk檔案,一般使用者往往無法分辨裡面是否存在惡意程式碼,下載使用後可能會導致使用者手機遭到惡意程式攻擊。為防止APP被篡改二次打包做成盜版散佈,開發者應該要使用完整性校驗機制,確保程式碼或資源檔無法被駭客所篡改,以避免公司商譽及利益受損。
4. 憑證綁定
APP在對伺服器使用HTTPS加密連線時,應該對伺服器憑證進行檢查,並且使用STRICT_HOSTNAME_VERIFIER嚴格校驗主機名稱,確保連線的伺服器是正確合法的目標伺服器,防止APP連線到駭客假冒的伺服器,進而導致連線時送出的帳號密碼等機敏資料遭到監聽。
果核數位提供最完善的手遊APP保護方案,除了原始碼保護外,也針對常見的遊戲作弊工具及外掛程式進行阻擋,再加上完整性校驗機制阻擋二次打包,使所有的遊戲玩家可以在公平的環境下進行遊戲,進而延長遊戲壽命,確保開發商及發行商的利益不受侵害。