從防堵手遊外掛起家,果核數位攻進金融App資安市場

2018/10/18

前身是遊戲橘子IDC、資安、系統及網路事業部門的果核數位,一開始想解決的是外掛破壞手遊公平性的現象,直到近期才開始將觸角拓展至網銀、支付等金融App的資安防護。對他們而言,其實防堵手遊遭破解的難度,和網銀、行動支付App所需的資安強度,不相上下。

一般人對手遊外掛見怪不怪,但或許很少人知道,其實防堵手遊遭破解的難度,和網銀、行動支付App所需的資安強度,不相上下。從手遊資安起家的果核數位總經理丁瑋明就表示:「要講遊戲真的就複雜多了。」


手遊資安和其他App資安防護相似
果核數位前身是遊戲橘子IDC、資安、系統及網路事業部門,一開始想解決的是外掛破壞遊戲公平性的現象,直到近期才開始將觸角拓展至網銀、支付等金融領域。


事實上,手遊最常見的資安攻擊,就是遊戲資料庫遭竄改、或是遊戲數值被修改,也就是俗稱的「外掛」。果核數位總經理丁瑋明解釋,原本手遊生命週期只有三到六個月的時間,加上外掛會變得更短,直接影響遊戲廠商營收,所以一開始的切入點,純粹是想解決遊戲端外掛的這些問題。


不過在做手遊資安的過程中,他們發現,外掛攻擊的手段跟方法,與一般App遭駭客入侵其實是大同小異,這也讓果核資安從遊戲橘子獨立出來後,開始將觸角延伸到其他App,在兩年前成為台灣少數專注App資安的業者。到現在,在台灣三十幾間銀行業者中,果核的客戶就占至少三分之一。


丁瑋明舉例,大家常聽見的「外掛」,是遊戲端的名詞,但從技術端看,其實就是「動態注入」,類似將一個Hook(掛鉤)附掛在App上,可以監控或從旁控制App,同樣可以用在入侵金融類型App。
另一個駭客常用的技術是修改本地檔,在遊戲中,駭客要修改的可能是記憶體中的資料,這概念和作法和駭客要駭入網銀App很相似,一樣是侵入式修改,或是攔截執行過程裡中間傳遞的相關資料。儘管金融類型App的資料敏感度高,但若單論防堵駭客入侵App,丁瑋明認為,其實遊戲可能還相對複雜些。


丁瑋明解釋,遊戲牽涉的面相廣,如果要寫外掛,必須非常清楚遊戲裡的行為、邏輯、記憶體的資料是否能攔截等,才有機會竄改。舉例來說,遊戲中從A點走到B點,慢慢走要花一分鐘,要想透過外掛「瞬間移動」,必須先抓到控制那記憶體的位置並修改。


此外,想破解遊戲,不只是要考量許多遊戲場景和屬性,RPG和策略型遊戲修改的方式也不同,就算同樣都是策略型,也可能同時有五位玩家連線、或是P2P的遊戲,修改方式都大相徑庭。
相較下,行動支付和網銀其實就是一筆交易,確認轉帳金額和對象、透過第三方認證、回傳資料、雙方驗證資料無誤,交易就完成。「所以在遊戲面,可能相對複雜度是不亞於這些支付、電商的App。」他說。


「政府App資安檢測僅勉強及格」
作為台灣較早專注App資安的業者,丁瑋明坦言,台灣在這塊仍有很長的路要走。


他觀察,金融業者不像遊戲廠商、會被外掛直接影響營收,因此在資安這塊更在意的反而是能否能符合政府規範。雖然近期政府行動應用資安聯盟,針對App的安全推出檢測項目多達30項的MAS標章,但他認為,通過MAS檢測,資安只能算是勉強及格。


不過,由於金融App涉及的數據和資料更為敏感,金融業者對自身的資安要求應比政府規範來得更高,若僅達到資安及格邊緣,金融App很容易就會被破解、讓市面上出現遭植入後門的盜版雙胞胎App,一旦用戶下載到假的版本,資料就可能外洩。


就算業者願意花錢買資安工具,也不一定有成效。丁瑋明表示,雖然不少金融業者花大錢買App資安防護工具,但目前市面上大部分的資安廠商是提供SDK植入的方案,要達到有效防護的重點在於,業者本身的程式能力要夠好,否則光有工具、沒有技術,資安仍漏洞百出。對此,果核想出的解決方案是,幫App穿「鋼鐵衣」,防止逆向工程、阻擋遊戲作弊工具、防止App遭竄改,以及替App的儲存資料加密。


企業對App資安防護的重視仍遠不及網頁
現在App對不少企業而言,擔負的角色或許比網頁還吃重,但丁瑋明觀察,多數企業在App資安的投注仍遠遠不及網頁。


「網站你知道要買防火牆、買WAF(網頁應用系統防火牆)、買IPS(入侵防禦系統),隨便一買也要花上千萬,」他說,「但看待一個App,你可能只願意花幾十萬,就想解決所有事。」
對果核而言,無論是App還是網頁,無論是遊戲或金融,資安防護的步驟和道理亙古不變。


丁瑋明建議,要提升App資安,首先業者要夠清楚系統的開發架構和規範。其次,資安防護要分為「黑箱」跟「白箱」,黑箱指的是從外部透過工具和駭客行為去檢測系統是否有漏洞,而白箱則是由內部檢測程式碼、找出漏洞。找出弱點後,最後再決定要用哪種機制去強化資安。


除了台灣,果核今年上半年開始積極布局海外,在韓國、香港、東南亞都有客戶,產業包含金融和手遊。

其他動態