互联网周刊 :2013中国网络游戏安全拷问
2013-12-17 16:04:13   来源:互联网周刊 作者:刘再明   评论:0 点击:

导读:在经历了十多年的发展黄金时期之后,网络游戏已经成为中国互联网产业最耀眼和显着的领域,伴随其一起发展壮大的还有虚拟物品交易等周边市场。2012年国内游戏产业总产值为1089 47 亿元人民
【原载于《互联网周刊第557期》 转载请注明】
 
  在经历了十多年的发展黄金时期之后,网络游戏已经成为中国互联网产业最耀眼和显着的领域,伴随其一起发展壮大的还有虚拟物品交易等周边市场。2012年国内游戏产业总产值为1089.47 亿元人民币,而虚拟物品交易的二级市场则成长为一个交易额超过100亿元的巨大市场,增长十分迅猛。
 
  然而,日益严重的安全问题也如影而至不断滋长,根据有关数据表明, 2012年度检测到受病毒感染的游戏高达3700多款,《愤怒的小鸟》、《割绳子》、《捣蛋猪》、《植物大战僵尸》、《鳄鱼爱洗澡》、《水果忍者》、《神庙逃亡》等热门游戏无一幸免,感染用户将近2亿人次。2012年我国移动互联网被拦截的恶意代码包数量就达到16万,今年总数更超过去年的1.72倍。
 
  安全是人的基本需求之一,在现实和网络游戏的虚拟世界中同样需要,如虚拟财产的安全需求,公平竞争竞技的需求,健康良性的公共环境的需要,游戏整体稳定运营的需求。目前,安全问题已经成为导致玩家流失的首要因素,严重影响游戏健康发展,这些都是游戏厂商所无法忽视的。
 
  游戏安全问题由来已久
 
  网络游戏十几年的发展滋生出了外挂、私服、盗号、打金工作室、网络信息诈骗等一系列的黑色或灰色产业链。国内游戏玩家安全意识普遍不足,游戏外挂对木马精确投放的促进,游戏自身安全体系的先天不足,都为黑色产业链的生长提供了肥沃的土壤。
 
  今年上半年,沸沸扬扬的“洗钱门”令史玉柱的巨人游戏大受打击,也让人猛然意识到,游戏安全已经不是一个可以遮遮掩掩的小问题,而是有可能对于社会经济造成巨大冲击的黑洞,处理不善会对多方面带来不可估量的损失。
 
  和能够迅速自我复制、动辄对系统带来巨大损坏的PC电脑病毒相比,手机、平板等移动设备的系统对管理权限有着严格限制,手机病毒称为“恶意程序”更加准确,也因此更具备隐蔽性和欺诈性。在目前传播的手机恶意程序当中,有一半是通过恶意扣费、资费消耗、流量偷跑、欺诈、盗号等给用户带来经济损失,而80%的手机恶意软件存在两种或两种以上恶意行为。
 
  近年国内移动智能设备得到迅速普及,特别是开源的安卓平台的发展,为软件开发者提供了很大的发挥空间,但也在很大程度上带来了安全隐患。据信息安全公司F-Secure一份报告结果,2012年安卓平台的恶意软件占所有恶意软件的79%,而iOS仅占0.7%。其中第三方应用商店、论坛是当前游戏木马的主要传播途径,另有23.4%存在于水货手机的ROM刷机包中,而时下流行的二维码、短网址也正在成为游戏木马的温床,有16.5%的手机木马借此来伪装传播。黑色的商业利益驱动手机病毒产业链的发展,甚至一些手机安全服务厂商也被卷入其中。
 
图注:开源的安卓平台在很大程度上带来了安全隐患,且病毒来源渠道不断呈现出分散化与多元化的特性。
 
  2013年第三季度的最新数据表明,手机病毒来源渠道继续呈现出分散化与多元化的特性,电子市场与手机论坛依然占据相对第一与第二的比例,ROM内置、二维码、网盘传播等新方式的数量级也在不断攀升。
 
  另一方面,很多游戏在安装后都会读取和监控用户的通话记录、手机号码、IMEI号码且获得发送短信等不必要的权限。360安全中心通过对1000款热门手机游戏进行抽样的权限分析后发现,其中59%存在调用过多权限的情况,如在非必要情况下读取用户通讯录、短信、位置信息,这些都有潜在的扣费、窃取隐私危险。而目前国内网民普遍存在对手机病毒认知不足、对隐私保护漠不关心的情况,也使得手机游戏安全问题显得尤为严重。
 
  在法律层面,相关法律法规的制订一直相对滞后,但摆在司法界面前的已经不是虚拟财产是否应当受到法律保护,而是如何保护的问题,在寻回虚拟财产时产生的法律纠纷处理上,也应当依照现实世界中的标准进行,不应任由游戏公司在虚拟世界中既当“立法者”又当“执法者”。
 
  而在病毒监控查杀的过程中,安全公司能够监测到的只是经过多次IP跳转的数据而已,所能做的工作事实上十分有限,很难对整个病毒链进行有效遏制,需要得到其他各个环节的协助,比如说电信运营商可以帮助识别IP跳转的路径,而政府相关主管部门可以对上下游厂商关系进行一些管理,保障信息情报的互通,并从经济上切断病毒链条。
 
  游戏安全防护向金融级别靠拢
 
  通过正规安全的渠道下载官方版支付、工具、游戏 <http://www.chinabyte.com/keyword/%E6%88%8F/>等各类手机APP,以及从正规的渠道购买手机或刷ROM包,是避免感染恶意程序最基本的做法。在日常生活中,用户应该对二维码的可靠程度进行甄别,安装具备二维码恶意网址拦截的安全软件,或者用带有安全识别的二维码工具进行二维码扫描,“见码就扫”很容易使得恶意程序有机可乘。
 
  手机和平板设备的ROOT权限通常并没有对普通用户开放,而用户自行越狱或者获取ROOT权限会造成安全级别的大幅下降,同样可能被利用而造成巨大危害。得益于APP STORE对于第三方应用的严格审核,IOS越狱的后果还不算严重,而安卓在各大安全厂商推出修复补丁的同时,身为官方的谷歌同时也采取紧缩政策以规避风险,从4.3版本开始,安卓限制了Root权限的提升,从前必须要ROOT权限的诸多安全方面的操作都改由向用户提供 API和扩展完成,虽然在一定程度上提升了安全等级,但是也引起了限制用户行动的争议。
 
  和诸如360,腾讯手机管家等安全厂商进行合作,是绝大多数的应用商店和手机厂商的选择,就像应用汇COO袁聪说的那样:“专业的事情交给专业的人士去办。”一般的应用商店只需要在尽力确保通过自己提供给用户的应用安全即可。从今年上半年开始,中兴、华为、三星、联想等国产手机厂商强化了和安全厂商之间的合作,以保证在不需Root的条件下实现系统底层安全服务。
 
  不过体量较大的应用商店可能形成属于自身的一套完整的安全体系,比如说中国移动游戏基地提供快捷支付、动态验证码、支付密码在内多种支付方式,并根据业务性质、用户偏好、使用场景和环境推荐给CP合适的支付方式,目前这些功能都已经集成在最新的SDK当中,方便开发者的调用。在运营商游戏平台占主导地位的话费支付因为过于简单,过去有过被盗用、付费提示过于简单模糊等问题,新的安全支付SDK也已经可以比较完美的解决。技术解决只是一个方面,游戏基地同时还推出了安全指导规范,指导CP合理合法合规的调用系统权限,从而构成复合式和前瞻式的安全防护体系。
 
图注:中国移动游戏基地提供快捷支付、动态验证码、支付密码在内多种支付方式,并被集成在SDK中提供给游戏CP。
 
  从整体来看,游戏行业的安全保障级别是比较低的,和传统的金融行业无法相提并论。事实上,很多成熟的经验可以很方便地进行移植,比如说银行业广泛应用的“风险控制机制”。推出过“骏卡一卡通”等游戏点卡系统的汇元网CEO吴洪彬认为,要保证游戏的交易安全,首先是在技术层面,如从加密体系、服务器安全结构、运维的安全下手;第二个就是内部控制问题,相关的管理人员要确保不能出现问题;而第三是风险控制,整个交易支付的流程、判断、管理方面需要更专业,这通常是游戏厂商们最需要改进的。
 
  风险控制系统是在后台进行的一大块工作,通常会先根据交易金额的大小、用户的IP地址、使用的频度、购买对象等整体行为来判断用户是否安全;其次需要在海量的用户数据中进行分析、挖掘,来区分正常用户和非正常用户的交易习惯的区别,首先建立起适用规则,然后再建立规则集群,使之可以比较完美地模拟和推测正常用户的底线和行动模型,从而把非正常的交易区分出来。
 
  吴洪彬认为,汇元网经过2年多的摸索,风险控制系统已经比较成熟和完备,误判率已经从降低到了一个比较小的区间,借此曾经帮助过玩家挽回很多损失,最大的一笔金额达到了30万;而另外一个案例是小米手机的网上预售,不少用户因为伪造网站被钓鱼,但其中经过风险控制系统甄别的资金全部被认定为异常,因而被冻结拦截,然后逐一退还给了用户。
 
  行业自律和政府监管的加强
 
  事实上,国内从立法或司法解释层面已经有过多次将虚拟财产明确列入刑法保护的尝试,2003年曾有律师联名向全国人大法律委员会寄出《保护网络虚拟财产立法建议书》;2009年10月16日,最高人民法院、最高人民检察院在《关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》中,又新增加了“非法获取计算机信息系统数据罪”,以及“非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪”两个罪名。
 
  在大型游戏厂商的推动下,游戏行业的自律和政府部门的监管强化基本上同步进行。2013年最典型的例子就是《移动互联网黑白名单规范》的通信行业规范的浮出水面。由国家工信部主管,中国移动游戏基地牵头的移动游戏开放安全联盟正式成立后,联盟成员共同发表了安全自律宣言,规定了联盟成员推出的游戏必须标有安全联盟标志,并发布《中国互联网协会网络病毒联盟移动互联网应用自律白名单规范》。
 
  作为安全联盟的牵头人,中国移动游戏基地之前就组建了“泛游戏”联盟,倡导“绿色游戏、和谐生活”,安全问题是其中很重要的一个课题。作为互联网业务的经典应用,移动游戏业务和传统的电信业务不太一样,很多环节并不掌握在运营商手里,平台、发布渠道、终端、安全厂家等都是独立的实体,对于所有这些环节来说,传统的安全策略都已经无法应对开放性的游戏安全问题了,这些因素最终促成了安全联盟的产生。
 
  安全联盟首先对游戏扣费行为做出了统一的规范,其次意在全面消除伪装成游戏应用的病毒对用户端的侵蚀,最后融合了此前一直相对独立的CP、渠道、平台、运营商各自的安全工作,实现对整个生态链的无缝覆盖。
 
图注:由国家工信部主管,中国移动游戏基地牵头的移动游戏开放安全联盟发布了《中国互联网协会网络病毒联盟移动互联网应用自律白名单规范》。
 
  另一方面,白名单本身的要求非常严格,需要经过多轮严格审定,且一旦出现了一次安全问题,就会被从名单中剔除出去,从而保障了名单的绝对可信。白名单能够保障正常安全的游戏包在发行过程中畅通无阻,对于竞争激烈的游戏行业也有一定的指向作用。
 
  比如说,之前很多游戏都有获取用户信息的权限要求,实际上只是作为身份识别和软件自身认证用的,如通过获取手机的通话状态在来电的时候实现暂停恢复,但是可能会造成用户的困惑。白名单可以把这些行为进行规范,把正常保障用户体验的行为与真正的恶意行为进行区分,对游戏开发者来说无疑是一大利好。
 
  政府的监管有助于建立统一的行业安全标准,能有效保障广大用户利益,配合游戏行业自身充分的自律和自我防护进行,才能有效覆盖到所有方面。运营商、CP、渠道以及安全厂商等游戏行业的所有环节,都可以在安全联盟的框架下进行技术交流、信息共享、样本交换、白名单发布等多种方式的合作,共同为提升游戏行业的安全保障作出贡献。
 
结语:要应对层出不穷的游戏安全问题,需要整个行业乃至整个社会的通力合作,在游戏行业逐渐形成统一战线的同时,违法和黑色的产业链也在不断变化和发展之中,这将会是一场没有终结的对抗。

相关热词搜索:2013 中国网络 游戏

上一篇:2014年网络安全五大预测:对物联网的攻击将会增加
下一篇:360移动产品主导手机安全市场 市场份额达71.9%

分享到: 收藏