游戲加固與反外掛2024年度報告游戲安全現狀分析安卓與iOS外掛差異04各類型游戲安全風險單元安全問題分析其他安全問題分析隱私合規20渠道假量211前言據中國音數協游戲工委發布的產業報告顯示，2024年，國內游戲市場實際銷售收入3257.83億元，同比增長7.53%,再創新高。游戲用戶規模6.74億人，同比增長0.94%,亦為歷史新高點?！癜踩珜辜ち遥囗棓祿噬蠞q趨勢，累計檢測游戲安全風險同比增長98%;●累計收集外掛樣本17557款，同比增長76%,其中定制注入掛約占比79%;●游戲黑產工作室猖獗，累計封禁工作室賬號2.9億，同比增長165%;●紅海時代，游戲營銷買量成本高居不下，渠道假量問題值得重點關注；●黑灰產技術手段更迭，傾向采用主板機與虛擬設備，繞過傳統的檢測手●小游戲市場表現搶眼，增長勢頭強勁，但游戲安全問題頻發，損失嚴重；2增長87%增長87%增長37%增長88%增長165%工作室賬號外掛樣本量增長93%其他風險安全環境據FairGuard游戲安全數據統計，2024年游戲安全問題依舊嚴峻，游戲安全對抗激烈程度顯著增加，多項數據近年來呈高速上漲趨勢。全年累計檢測到游戲安全風險同比增長98%;累計收集17557款外掛樣本，同比增長76%;累計封禁的黑產工作室賬號達2.9億，同比增長165%;累計檢測游戲環境威脅同比增長88%;累計檢測游戲外掛攻擊次數同比增長87%;累計檢測游戲破解威脅同比增長37%;累計檢測其他游戲安全威脅同比增長93%。3游戲安全風險分布多樣化。主要體現在以下幾方面：工作室(約占所有安全風險的26%)、定制注入掛(約占所有安全風險的21%)、模擬點擊(約占所有安全風險的15%)、破解(約占所有安全風險的14%)、通用修改器(約占所有安全風險的11%)等方面安全對抗強度明顯提升。其他常見類游戲安全風險，如：加速器(約占所有安全風險的3%)(約占所有安全風險的3%)、其他游戲安全風險(約占所有安全風險的7%)等方面也不容忽視。破解3%▲游戲安全風險分布占比圖游戲安全對抗時間分布據FairGuard游戲安全統計的數據發現，游戲安全對抗強度存在較為明顯的時間分布特點。寒暑假期間與五一、國慶節等節假日期間，攔截到的游戲安全風險數量會有明顯4攀升，說明在節假日期間，游戲安全對抗程度相較平時會更為激烈。1月1月2月3月4月5月6月7月8月9月10月11月12月▲游戲安全對抗強度時間分布圖安卓與iOS外掛差異據FairGuard游戲安全統計的數據分析發現，不同操作系統下，游戲黑灰產的攻擊方式存在明顯差異，具體表現如下：在安卓端，游戲面臨的主要安全風險為：模擬點擊、定制注入掛、破解。而在iOS端，游戲面臨的主要安全風險為：異常環境、盜版、工作室。其他其他其他破解破解▲安卓端常見外掛占比▲iOS端常見外掛占比5各類型游戲受攻擊占比據FairGuard游戲安全數據分析發現，因游戲品類、玩法、內容不同，游戲遭受游戲黑產攻擊的情況存在明顯差異。射擊類、小游戲、休閑類游戲因品類熱度高、作弊收益高、游戲數據儲存在本地值得一提的是，小游戲與休閑類游戲受攻擊占比近年來呈增長趨勢，其他品類游戲受攻擊占比相對較少，但游戲安全問題仍不容忽視。▲各類型游戲受攻擊占比圖6各類型游戲安全風險分析01射擊類游戲安全風險分析射擊類游戲因品類熱度高、作弊收益大和數值運算儲存在客戶端的品類缺陷，一直以來都是游戲黑產攻擊的重災區。據FairGuard游戲安全數據分析，目前射擊類游戲面臨的游戲安全風險主要為：定制注入掛(約占所有安全風險的39%)、破解(約占所有安全風險的26%)、資源篡改(約占所有安全風險的15%)。由于射擊類游戲的游戲安全對抗較為激烈，隨著反外掛策略的完善，基于通用修改器、加速器的攻擊數量呈下降趨勢，外掛作者會采用更加刁鉆的角度通過注入、破解等手段開展攻擊，嘗試獲得更高的權限，從而進行作弊并繞過檢測。此外，外掛作者會通過篡改關鍵資源文件、著色器等手段，來實現射擊類游戲里的透視、穿墻等變態效果外掛，嚴重破壞游戲的平衡性?！鋼纛愑螒虬踩L險占比圖7卡牌類游戲安全風險分析據FairGuard游戲安全數據分析，卡牌類游戲面臨的游戲安全風險主要為：腳本工作室(約占所有安全風險的43%)、模擬點擊(約占所有安全風險的25%)、破解(約占所有安全風險的16%)?？ㄅ祁愑螒蛴捎谄溟L線養成的特性，通常會遭遇大量的腳本工作室，這些工作室使用主板機或云手機等設備，搭配模擬點擊腳本，可以實現快速、批量起號。工作室賬號會大批量刷取“金幣號”及“初始號”,這種行為會嚴重影響正常玩家的付費意愿，導致廠商收益直接受損。其次較多的是破解問題，作弊者會通過逆向手段破解游戲，再修改游戲內數據來獲取不平等對抗優勢；還有通過破解通訊協議，來實現篡改游戲抽卡數據等作弊手段，值得重點關注。8小游戲安全風險分析據FairGuard游戲安全數據分析，小游戲面臨的游戲安全風險主要為：破解(約占所有安全風險的58%)、修改器(約占所有安全風險的23%)、其他(約占所有安全風險的19%)。相較于端手游而言，小游戲的破解難度更低。破解者可通過各類工具對小游戲包體進行分析、破解，獲取包內的源代碼及各類資源。并在保留游戲框架的基礎上，對游戲包內的美術資源、廣告模塊進行替換，進行重打包并上架，這種行為會對原游戲方的收益造成嚴重影響。游戲包體被破解后，會造成包體內的代碼、圖片、視頻、音頻等資源泄露，這些資源可能會被用作競品分析、換皮上架，會對原游戲會造成不可估量的損失。此外，還有通過GG修改器變種來篡改游戲廣告跳過邏輯，篡改游戲關鍵道具數量的外掛；以及通過抓包工具破解游戲通訊協議，破壞正常的游戲客戶端與服務端交互流程，從而實現篡改數據、游戲內邏輯等案例。上述行為會導致正常玩家不滿，對廠商口碑、收益造成直接影響?！∮螒虬踩L險占比圖9據FairGuard游戲安全數據分析，角色扮演類游戲面臨的游戲安全風險主要為腳本工作室(約占所有安全風險的48%)、模擬點擊(約占所有安全風險的33%)。近年來黑產工作室技術手段也在不斷更迭，由多開群控轉變為單開群控模式，傾向于采用主板機、云手機、虛擬機、虛擬空間等。工作室可在短時間內進行大規?？焖俨渴?，搭配私有化的模擬點擊腳本實現批量起號、自動跑任務、自動領取獎勵，甚至部分外掛樣本還存在自動戰斗功能。此外，FairGuard收集的樣本中，發現部分定制注入掛，通過注入手段，修改游戲內存模塊，實現修改戰斗相關數值、任務獎勵、核心道具數量等功能。4日%4日%▲角色扮演類游戲安全風險占比圖休閑類游戲安全風險分析據FairGuard游戲安全數據分析，休閑類游戲面臨的游戲安全風險主要為：破解休閑類游戲是破解的重災區，外掛作者可通過反編譯手段，篡改游戲邏輯，剔除廣告模塊，加入惡意功能模塊，制作出游戲破解版、無廣告版，會對正版游戲產生巨大沖擊。休閑類游戲還面臨著注入、修改器等篡改游戲內數值，獲取相關道具跳過廣告的案例，此外，游戲存檔提取售賣問題也同樣值得關注?！蓍e類游戲安全風險占比圖策略類游戲安全風險分析據FairGuard游戲安全數據分析，策略類游戲面臨的游戲安全風險主要為：腳本工作室(約占所有安全風險的42%)、模擬點擊掛(約占所有安全風險的25%)、破解(約占所有安全風險的17%)。出于游戲品類及玩法特性，需要玩家保持長時間在線采集資源來獲取戰力，導致腳本工作室、模擬點擊掛泛濫，附帶的批量起號、資源售賣、自動采集、自動任務、自動戰斗等外掛功能會嚴重破壞游戲的平衡性。除了腳本工作室、模擬點擊掛之外，部分游戲出現了通訊協議被破解的案例，游戲通訊協議破解后，客戶端與服務端交互的數據會被攔截篡改，可實現修改勝負邏輯刷取資源、修改關鍵道具數量等功能，會破壞游戲內的公平性，導致正常付費玩家不滿，值得重點關注?！呗灶愑螒虬踩L險占比圖防護功能游戲引擎加密FairGuard獨家技術無導入函數SO加殼技術，深最強級別加密防護，保護游戲代碼不被分析，防止破解者的進一步操作。資源加密FairGuard獨家方案，深入游戲引擎底層，提供高強度加密保具備運行消耗小、性能無影響的特點，支持Android/iOS/PC/鴻蒙NEXT/小游戲等多平臺。防破解功能FairGuard獨家無API簽名校驗技術，對游戲的引度加密，并對游戲包簽名和文件完整性進行植入惡意模塊、剔除廣告等。反外掛功能針對游戲將面臨一系列外掛修改風險，FairGuard研做到有效防護。反注入功能禁止使用Xposed、Frida等各種外掛模改游戲內存等各種惡意行為，一旦發現立即閃退。反調試功能防止外掛作者對游戲進行調試，阻止對游戲的靜態或動態分析，一變速閃退功能采用更加底層的檢測手段，經大量實機測試，可無視任何變速器及其變種，一旦檢測到變速情況，將立即閃退游針對高維度作弊問題，FairGuard深入游戲引擎底層，對變速行為進行深度檢測，獲取具體變速倍數，可精準識別驅動級、進程級的變速，可自行配置閃退處理或封號打擊。安全環境檢測采用底層檢測手段，精準識別游戲運行環境，如：越獄、ROOT、虛擬機、虛擬框架、云手機等，并提供個性化閃退策主動識別惡意模塊機制無需獲取注入掛樣本，可對游戲內可疑模塊進行主動識別，搭配在線打擊功能做到主動防御，大幅縮短外掛排查周期。通訊協議加密通過FairGuard獨有的高混淆度加密算法，對游戲通訊協議進行加密，可有效提高分析、破解的門檻，攔截大部分破解操作。數據校驗功能搭配使用數據校驗功能，可精準校驗游戲上下行數據，一旦發現數據異常，立刻上報處理，真正做到有效防護。支付保護功能可對游戲支付過程進行保護和校驗，防止篡改支付過程繞過付費或態勢感知功能FairGuard獨家方案，可對無特征的私有腳本進行智能分析挖定位并標記出工作室賬號，可自動對接給游戲方進行封號處理，做到高效防護。設備指紋方案為刷新而逃避處罰。渠道買量防刷據綜合判斷，精準識別假量、刷量行為，可告，對接游戲方處理，避免營銷費用浪費。hap文件加固防hap重簽名除廣告等行為。黑灰產業鏈服、資源工作室等。家體驗，嚴重的情況甚至會縮短游戲生命周期。層、輔助層、執行層組成，呈金字塔形狀分布。下游(執行層)卡盟平臺_接碼平臺打碼平臺工具代售平臺工作室打手游戲測試員代練打手▲游戲外掛制售黑灰產業鏈備較強的反偵查和反檢測能力。散。最終，外掛會通過QQ群、網購平臺、游戲社區、游戲盒子、外掛平臺等渠道觸達開掛玩家，同時開掛玩家內部也會進行二次傳播。黑產工作室，是指依靠特殊設備進行游戲，異常獲取游戲內的金幣/道具/獎勵等資源，再通過交易或轉移等手段將資源進行變現的組織。據觀察，當下游戲黑產工作室產業鏈規模龐大，涉及到非黑名單ip代理、偽造信息設備、身份資料等灰色產業，通過這些資源來偽裝躲避檢測。隨著黑產技術迭代，與工作室的對抗難度也直線上升，工作室牟利手段由多開群控轉變為單開群控模式，多采用主板機、云手機、虛擬機、虛擬空間等方式，在短時間內進行大規模部署，并擁有在線部署的彈性能力，可迅速將收益轉移，需要游戲安全產品具備更高的識別效率。工作室類型模擬真實用戶行為，進行交互、安裝、捏造貌似合法的虛假活動，盜取游戲的CPI和CPA營銷預算。通過非正常游戲手段，利用大量角色掠奪游戲資源，并轉售變現，導致游戲經濟系統失衡崩資源囤積號利用游戲內經濟系統，通過囤積、炒作等手段將游戲內資源以高價賣給正常玩家，以此牟利。通過腳本、脫機等非正常手段快速起號，獲取游戲任務獎勵，再低價售賣給玩家，嚴重影響營收。使用與該游戲玩法相關的輔助軟件，完成一系列操作，如自動日常、自動采集等。常見于IAA游戲中，通過設備多開搭配掛機腳本24小時不間斷薅取游戲方廣告收益，嚴重影響營腳本私有化更是加大了檢測難度，工作室在腳本中加入社交、休息等行為，偽裝成正常玩家來躲避檢測，要通過游戲行為來區分工作室與正常玩家，需要游戲安全產品具備更精準的識別能力。此外，FairGuard收集的樣本中還發現，有些工作室通過代理或VPN等方式偽造IP地址，更有甚者可偽造設備指紋，讓一般的檢測手段難以追蹤，是對游戲安全產品技術力的重大考驗。游戲工作室掠奪游戲資源，會嚴重破壞游戲經濟體系，不僅損害了官方的利益，還會造成正常付費玩家流失等現象，縮短游戲生命周期。黑卡充值常隱匿于“代充”服務中，且形式多變，常見的有黑卡、退款、36漏洞、庫存系統、盜刷信用卡，以及基于bundlelD漏洞的新型內購欺詐。“bundlelD漏洞”是黑產在其他應用上以低價(1元)充值獲取的真實支付憑證，再在游戲中購買高價商品(648元),如果游戲服務端蘋果憑證校驗接口存在漏洞，只校驗了憑證中商品和訂單信息，未校驗憑證中bundlelD,則會驗證通過，進而發貨，產生壞賬。盜刷信用卡等方式獲得的黑產，以充值購買游戲禮包的形式獲得“支付成功”憑證，再將支付憑證以“代充”形式兌現，從而導致壞賬。此外，還有利用小額支付漏洞、盜刷等多種手段的黑卡代充，這類黑卡充值在各種渠道打著低價代充游戲禮包的噱頭，吸引玩家購買。黑卡充值過程中，平臺沒有收到金額，但游戲產品卻已經兌現，等到游戲廠商與平臺結算時，就產生了大量的壞賬，嚴重損害了游戲廠商的收益。exe模擬器外掛這類外掛本質是內存修改器，原理是通過多次搜索數值對內存模塊進行定位，再確認后對數值模塊進行篡改，從而實現外掛效果。通用的內存修改器檢測起來并不困難，采用安全環境檢測或外掛行為檢測手段即可進行有效防護，而這類新型外掛，為了躲避檢測，并不需要在Root環境下運PC跨模擬器外掛以exe程序運行在PC端，而游戲運行在PC模擬器中，外掛不再讀寫游戲程序內存，而是讀寫整個模擬器中的數據，通過反復定位，也可以實現內存修改的效果。這類外掛有兩大檢測難點：無需開啟Root權限即可搜索內存進行數值篡改，讓以往的安全環境檢測方案難游戲在運行過程中，數值會實時變動，進行數值排查需要耗費更久的周期，嚴重影響對抗效率。今年，原生鴻蒙操作系統HarmonyOSNEXT進入公測階段，在收集的部分樣本中我們發現，鴻蒙NEXT系統下，游戲存在一些安全隱患。如hap文件加固問題。通過解壓、反編譯手段，可以查看hap中的abc及SO文件。雖然目前市面上針對abc的反編譯工具還不成熟，abc逆向后的分析理解仍存在一定的門檻，但也暴露出了存在SO未加殼的現象。SO文件中包含著游戲內的關鍵代碼，未加殼狀態很容易被外掛作者惡意分析利用，從而對游戲安全造成危害。此外，還有hap重簽名問題。不同于安卓系統，鴻蒙應用簽名需要通過數字證書和HarmonyAppProvision來保證應用的完整性，還需要通過DevEcoStudio來生成密鑰文件和證書請求文件。這樣生成的應用在使用鴻蒙賬號登錄游戲時，會由系統發出校驗來確保游戲沒有被重簽名二次打包，可以在一定程度上對抗破解、盜版應用問題。但其中也存在一些問題，如果游戲登錄方式為游戲方賬號或掃碼登錄等形式，則會繞過系統校驗，游戲依然存在較大的重打包、破解風險。以及游戲資源加密問題。游戲資源被破解可能會造成的競品抄襲、知識產權受損、游戲內容劇透、篡改游戲資源制售外掛等問題。作為游戲安全領域領先的第三方服務商，FairGuard游戲加固在早期就加入了鴻蒙生態的開發，基于多項獨家技術與十余年安全經驗，圍繞鴻蒙構建了一套成熟完善的解決方案。目前，FairGuard游戲加固方案支持對鴻蒙應用的hap文件加固、防hap重簽名、資源加密等功能。從技術層面來看，游戲安全對抗是一個持續上升的過程，對于未來純血鴻蒙NEXT可能出現的類似越獄(root)等獲取系統高級別權限的行為，FairGuard游戲加固也進行了預判與防護，可提供反內存修改、反加速、反注入、反調試、反代碼篡改、特征在線下發等一系列特色功能。自2021年以來，國家陸續出臺了《個人信息保護法》、《網絡安全法》、《APP違法違規收集使用個人信息行為認定方法》等律法，建立了相對健全的隱私保護制度。工信部也曾多次開展關于APP侵害用戶權益專項整治行動，對“APP、SDK違規處理用戶個人信息”“設置障礙、頻繁騷擾用戶”“欺騙誤導用戶”等問題進行嚴格排查。各大應用商店建立了嚴格的APP上架審核機制，在上架和更新過程中，均進行嚴格監督，來確保應用沒有存在違規獲取隱私權限等行為。如果應用存在違規獲取隱私現象，會導致上架審核不通過或應用下線整改等嚴重后果。游戲出現此類問題主要原因是在支付、廣告、渠道分包、數據分析等環節