深挖微信小程序安全风险:薅羊毛、偷用户该如何解决?
6月底,第三方统计平台发布的报告显示,微信小程序C端用户达到2.8亿,小程序数量达到100万,累计用户量达到6亿。微信持续赋能小程序生态,“简单快捷,不用下载,不占资源”成为广大用户使用小程序的最大理由。
但随着小程序生态的建立,其特有的安全风险也逐步显示出来:过去不少黑产从业者费尽心思使用旧版APP来寻找客户端于服务端通讯的漏洞,现在因为小程序本质是网页交互,其通讯更容易被破解,导致信息失窃、山寨仿冒屡屡发生。
还有薅羊毛界常见的“风控对抗”,因为开发者无法获取详细的使用者信息,导致在APP上成熟的风控措施无法部署,小程序被薅羊毛的概率极高。
(某赚客网站攻略)
还有游戏、工具类APP常见的山寨仿冒,因为小程序源码难以混淆加密,导致山寨小程序也大量出现,过去开发山寨APP需要一周,现在山寨小程序只要一两天就能上线,再加上小程序可以通过“裂变”、“社交分享”等方式传播,往往会有“山寨小程序”比“正牌”传播更快、使用者更多的现象。
(任意搜索热门关键词,总有很多类似的小程序)
针对上述风险,顶象技术于近日率先发布解决方案,可以有效防范账号失窃、信息被盗用和应用遭仿冒等。
小程序生态初步成型 商业进程加快速度
今年618之前,微信官方开放了商品搜索类目,强化了微信生态的购物功能,这给腾讯体系内的京东、拼多多等电商伙伴提供了巨大想象空间。
而“跳一跳”的火爆也给小程序的商业化进行添了一把火。据说,在跳一跳里植入一条小格子广告,一天就需要500万元,这已经远远超过了央视的黄金档广告价格。
(跳一跳里的麦当劳广告)
写到这里顺便说一下,不少媒体人觉得跳一跳已经过气,大家早就不玩了。但我看第三方数据,跳一跳仍然是小程序生态里的头部应用,应该是三四五线城市的用户在玩。
种种迹象表明,微信官方对于小程序生态的商业未来,怀有极大的期望。而这就需要官方和第三方安全公司对小程序的安全提供更完善的解决方案,顶象的安全方案,我觉得仅仅是一个开始,还会有更多安全厂商加入进来。
小程序安全,需要专业的安全防护能力
不可否认,现在大家对小程序的现状,更多的是“抢占市场”和“开疆拓土”,而安全的重要性并未提起足够重视。
例如,某电商拼购类应用,同时在APP和小程序上线运营活动,活动上午上线,中午就在赚客网站出现了薅羊毛攻略,羊毛党利用群控微信中的小程序,疯狂薅取新用户补贴,迫使活动不得不提前终止。
顶象小程序安全解决方案负责人嘉迪表示,小程序在微信体系内运行,具有天然的抗跨站攻击的优势,但面临营销作弊,薅羊毛、信息被爬取等时,风险防范能力更低(黑奇士注,因为无法像APP那样获取全面的权限)。
那么,顶象是怎么防范小程序的安全风险呢?
顶象小程序设备指纹能够采集终端设备的硬件、网络、环境等非敏感的近百种特征信息。它基于一次一密的token机制,保障采集特征信息100%唯一性和安全性,避免了被窃取复用。不仅能够识别已知和未知的各种模拟器,快速到检测到root Android和越狱iOS等设备的变化,更能够及时发现到网络代理、VPN等风险环境。
顶象小程序验证码结合了设备指纹、行为特征、访问频率、地理位置等多项技术,对于人机及恶意行为的识别率大于98%,并具有强大的抗破解能力强。它可以一键配置修改应用环境,并及时生效。用户在使用时只需滑动即完成验证,大大提升登录速度和体验性,良好应用于账号、活动、UGC等各类场景中。
顶象小程序代码混淆加密服务通过对小程序源代码的混淆、加密、压缩后,变成不可读难以破解的代码,防止小程序遭破解、篡改和山寨冒用。
顶象小程序怎么使用?
顶象小程序安全解决方案提供了多种使用方式。开发者可以在小程序管理后台的“设置-第三方服务-插件管理”中搜索并添加插件“顶象”进行调用,也可以通过JS代码方式添加相关代码直接使用。
小程序商业化加速将催大安全市场规模
黑奇士了解到,相对于日活和转化率,今年微信官方和投资方的注意力正在转移到开发者的商业变现能力。以往那种小游戏、猜星座、你的前世今生等等爆火类小程序,其前景并不会被看好。
而商业化因素的加入,必然对用户信息保护、商业促销活动反欺诈等安全风险提起足够的重视,而类似这种风险,单纯依靠微信官方提供更多API显然是不够的,需要开发者对自己的后台系统、前端逻辑也进行系统的整理,而这也是专业安全厂商开始入场的逻辑。
根据阿拉丁平台提供的数据,目前包括金沙江、红杉中国、IDG、真格基金在内,80%的一线基金已经进入小程序赛道,上半年进场投资资金超过30亿人民币。如此多的投资需要基本安全防护,其市场规模也将是个不小的数字。