“知物由學”是網易易盾打造的一個品牌欄目,詞語出自漢·王充《論衡·實知》。人,能力有高下之分,學習才知道事物的道理,而後纔有智慧,不去求問就不會知道。“知物由學”希望通過一篇篇技術乾貨、趨勢解讀、人物思考和沉澱給你帶來收穫的同時,也希望打開你的眼界,成就不一樣的你。當然,如果你有不錯的認知或分享,也歡迎在“網易易盾”公衆號後臺投稿。
目前移動領域的黑灰產有以下幾大類:
1.隱私數據盜用,包含姓名、聯繫方式、通訊錄、社交賬號、公積金數據、移動運營商數據等;
2.業務數據盜用,包含購物記錄、外賣記錄、打車記錄等;
3.自動化請求,包含刷單、刷量、搶號、搶票的行爲;
4.遊戲外掛,包含修改器、加速器、模擬器、雲真機等;
5.業務漏洞利用,優惠券漏洞、獎勵漏洞等;
下面,我們就來具體聊聊黑灰產的產業鏈路和各種騷操作。
黑灰產產業鏈路
數據黑灰產典型的鏈路就是,通過非法獲取個人隱私數據和第三方業務數據,整合多個平臺的數據,融合到一個完整的內部數據庫,然後通過將數據包裝,分裝到各個業務場景(金融風控、電商風控、定向推送、電話黑名單、信用評級)等。
當然,如果拋開非法獲取,基於自有的運營數據,進行的數據挖掘分析,從而再進行其他的拓展,實際上是一個合法合理的數據產業鏈。
自動化產業鏈路就是上圖的路徑,簡單的來說就是刷子、黃牛做的事情,只不過這是一個專業度非常高的刷子。流程一是基於逆向開發,破解接口加密,直接進行批量化的請求,這種方式受限於被破解的App的加固難度和業務場景,開發難度大。流程二說的開發成本更低、設備成本更高,但是設備可重複利用,這裏忽略這部分的成本,這一套體系後續會更加詳細的進行描述。
典型的黑灰產形態
自動化請求
這是一個醫院的掛號業務流程,選醫生-選時間-提交預約。在一些醫院的知名專家號是非常的熱門搶手,除了因爲本身有他們超高的職業能力以外,還有一部分黃牛刷子的存在,這些號的本身的價值就高達幾百上千元,非法獲利者的利潤空間非常的大,造成了他們不惜一切代價的去利用漏洞。
這個APP本身也進行了一定程度的風控,比如登陸限制等,但是破解難度依然不大。加密算法也只是簡單的進行了一個RSA加密,密鑰也能輕易的在App中獲取到。本身需要進行三個流程的操作,現在只需要一步便能直接取號,完全超過了正常人的獲取速度。
目前,這個App大概也是發現了風控需求的緊迫性,在提交環節新增設了驗證碼的環節,雖然阻止了一部分的低水平刷子,但是驗證碼的強度不夠,破解難度依然不高。這裏推薦負責業務安全的同學使用行爲式驗證碼,安全性高,用戶體驗又好。比如說,易盾的行爲式驗證碼,易盾的行爲式驗證碼包括智能無感知、滑動拼圖、文字點選、圖標點選、推理拼圖等,能夠高效過濾機器行爲,並保證用戶體驗。
多頭探測
是指通過手機號或者郵箱賬號等,檢測用戶在多家金融機構(P2P、現金貸、證券、銀行等)的註冊行爲。一般用來判定用戶的風險等級、是否是潛在客戶、賬號黑名單等。
數據的獲取方式
獲取數據的時候並不需要進行登陸、可直接利用賬號進行檢測,一般通過客戶端或者Web端的註冊接口、登陸接口、忘記密碼接口。
漏洞分析
關聯接口返回的數據內容冗餘(這個需要開發者自行修復)、接口缺少驗證碼等校驗、缺少風控工具、業務流程漏洞。
事例分析
下圖是一家現金貸的公司接口返回值,入參僅需要手機號,加密能夠破解,從這個接口返回我們就可以看出這個手機號已經在這家公司註冊。假設我們拿這個賬號,探測100家的註冊行爲,是不是這個手機我們就能做一個維度的風險測評了。
{
"phone_ok": true,
"message": "Nomor dapat digunakan untuk reset password"
//該號碼可用於重置密碼
}
下圖是印尼規模靠前某電商某接口的返回值,原理同上,假設被其他電商利用,進行批量請求,就能發現一大批潛在的客戶,從而進行廣告的推送,等其他商業行爲。作爲普通用戶,我們的行爲數據在不經意之間,就因爲開發商的疏忽被泄漏了。作爲開發商,我們有責任去保護我們的數據安全可靠。
{
"data": {
"checkEmail": {
"isExist": true,
"errors": [],
"__typename": "CheckEmail"
}
}
}
這是一個國內前三電商的海外版本接口,同樣有這樣的問題
{
"code": "1",
"data": true,
“msg”: “Nomor handphone telah terdaftar”,
(手機號已註冊)
"state": "SUCCESS"
}
這是印度規模很靠前的某出行APP上的疏漏,如果手機註冊他們會提示一種話術,不存在則有另外一種話術,同樣能都利用。
{
"data": {
"message": "Enter the code we sent via SMS to your registered phone number (+86XXXXXXXX884).",
"otp_token": "6d358cf9-f82f-4a41-9d68-1cb17c375d1d",
"expires_in": 300,
"otp_length": 4,
"next_retry": {
"state": "sms",
"timer_in_seconds": 30
}
},
"success": true,
"errors": null
}
有人說這是海外開發者的水平不足的問題,其實不然,國內的黑灰產更加的盛行,被突破的App只會更多。作爲開發者,我們在關注邏輯安全、代碼安全、業務安全的時候,也應該更加的重視數據的安全。
授權爬取
下圖一個已知的被授權爬取業務攻克的東南亞大型APP的列表,包含東南亞最大的出行平臺、東南亞最大三家電商平臺、政府APP(公積金數據等)、全球知名的社交平臺、運營商等。每一個都是在當地數一數二的企業龍頭,可見個人數據的泄漏不僅只是小廠商的問題,這是一個全行業都面臨的危機,大家可自行對標國內的公司。
下面介紹一個國內的例子。
想必大部分人都聽過或用過電商返利App,這種類型的App在前幾年非常的流行,他們都是利用電商們的推廣SDK,進行相關營銷,從何獲得分成。這種SDK都會有一個授權的登陸頁,跳轉到電商的App進行授權,返回返利App獲得授權Token。其實本身這樣的流程看上去沒有任何問題,然而電商所用的SDK可以在後臺打開相關的個人喜好、收藏、瀏覽記錄、購物車等。返利App沒有強大的數據挖掘和精準營銷的能力,但是利用這些頁面,他們就能獲得比較好的推薦資源。這些頁面大多是Web頁面,通過監控App底層的流量接口,就能很輕易的獲取,個人的喜好數據。
上述的業務形態,是一個很有侷限性的場景,下面介紹一個比較通用的業務形態。
上圖看我們很難分辨,到底哪裏一個是真的授權登錄頁。右圖其實也是真實的登錄頁,只不過是被進行了改造,注入了監控的代碼和想要的UI效果,加入了一個協議用於提示授權風險,這個對於大多數用戶來說,完全不會關注到。通過用戶的自發登錄(可能用戶會被變相引導爲第三方登錄),能夠獲取到Token與Cookie,用於後續的其他操作。
至於爲什麼不完全仿造或者保存密碼,是因爲保存密碼的法律風險更大,而且破解加密的方法更難,大型廠商在登錄環節的風控更嚴格。拿到Token後,會發送到相應的服務器,進行數據爬取。用戶對於自己的數據丟失很多時候是無感知的,很多廠商自身也是無感知的,這個就需要專業的風控產品去幫助他們。同時也要更加的注重全流程的風控,通過對某寶的觀察,不難發現他們的Web端的數據越來越少,很多數據只能出現在App端,比如信用分。這裏也建議,一些核心的流程應該越來越多的往App的方向進行轉移,利用好加固和風控產品,能夠更加有效的和黑灰產進行對抗。只是通過Web端的爬取,也依然還有受限的地方,隨着我們風控的升級,黑灰產的手段也在不斷的升級迭代,我們也一直致力於黑灰產的對抗,樂此不疲。
下面介紹一種在App端發生的漏洞(目前已經失效):早些年,某寶的信用分一直都是風控行業的寵兒,在P2P還盛行的那幾年,無數廠商都希望能夠抓到這樣的數據。然而,想直接通過破解某寶獲取信用分幾乎是不可能的。
原理還是類似,有人只是做了一個變種:突破口是在一個二手的交易平臺,他們集成了某寶的SDK,通過SDK他們能夠拿到相關的數據。由於直接破解的難度很高,這時候就可以利用,先前登錄拿到的Token,將Token發送到羣控設備上,此時的羣控設備上有交易平臺的App,直接hook相關API,進行參數拼裝,發送相關請求,就能達到我們的目的。最後再進行數據的解析,通過架設服務器將數據發回。
以上就是這次起底的全部內容。
結束語
安全其實是全鏈路都需要關注的問題,任何一個環節做的不到位,都將會前功盡棄。作爲開發者,我們需要提高我們的安全意識,在每一個細節上都要考慮一點安全問題,因爲現在已經不在是隻做產品的互聯網時代,而是一個安全爲先的互聯網時代。
小到驗證碼、安全鍵盤,大到應用加固、反外掛、反垃圾、反作弊,方方面面的安全領域我們都需要開始應用起來。
最後,如果想更加針對性地討論移動黑灰產、應用安全、手遊安全,歡迎加入我們的QQ技術交流羣:931107146!