相比以前端游时代,手游开发基本上是脚本为主,开发迭代的周期比较短,但是同样降低了逆向分析的门槛,破解者分析整个游戏变得更加容易。另一方面,一些重本地交互的手游的数据是放在客户端计算,服务端对客户端控制相对较弱,可以通过篡改客户端的数据来达到作弊效果。第三,对普通玩家来讲,安卓模拟器有很多,在模拟器作弊变得更加简单。第四就是端游时代所用的保护方案,如驱动保护,在手机端没有办法用,手机端对于 APK 的权限限制更加严格。而对于破解工作室来讲,手游时代的成本更低,比如空间成本、电力成本、机器成本、破解成本,这样导致大量端游打金工作室涌入手游吸金,给手游的生态带来了极大的挑战。
网易安全团队分析了公司内外很多 Unity 游戏的安全问题,概括来讲就是静态数据安全 ( 脚本和资源 ) 、动态数据安全 ( 角色动态数据、运行速度 ) 和收益安全 ( 支付和广告 ) 。Unity 引擎的脚本文件作为一个 DLL 文件存在,可以用 Reflector 工具进行反编译,得到如下图所示代码:
对于弱校验和单机类的手游,可以导致内购被破解,角色属性被修改,导致玩家不需要付费就可以达到甚至超过付费玩家的水平,这会大大打击付费玩家的积极性,最终影响开发商收益。
如何保护 Unity 引擎安全 ? 很多开发团队可能也有自己开发加固保护系统的打算,如果要做好这套保护系统,需要解决很多问题,主要包括以下四个:
第二、安卓的兼容性问题,安卓设备碎片化严重,系统版本升级、用户环境多样化。需要不断完善解决方案。网易在这一块积累了很长时间,才开发出一套在性能、兼容性和安全强度都满足
对于强校验的 MMORPG 手游来讲,通过逆向,导致整个通信协议直接被分析,客户端和服务端的通信毫无保留的呈现在破解者面前,他可以修改数据包、发送带欺骗性的数据包,最终可能开发出脱离客户端的外挂,通过封包来模拟客户端行为,这会严重危害手游的平衡性。
整个游戏的脚本代码毫无保留的呈现出来,对破解者来讲,相当于和开发团队一样拥有了游戏的源代码。如果用 Unity Studio 反编译 U3D 引擎的资源文件,也可以拿到相关游戏的资源数据,如下图所示:
对正常玩家的冲击相当厉害,( 网易云安全 ( 易盾 ) 移动安全技术专家卓辉在 Unity 技术开放日现场 )第一、保护方案自研成本比较高,最终玩家会慢慢流失。需要不断调研、不断改进,不但需要了解破解流程,穿墙、自动瞄准、远程攻击等作弊效果,但是对于场景中角色可移动区域的判断、角色攻击范围的判断、角色攻击行为的判断还是比较弱,另外很多手游虽然有很强的校验,还需要深度掌握 Unity 引擎的运行原理。这样通过破解可以达到,
如此热门的手游破解领域,手游到底经受着哪些安全问题的困扰 ? 首先就是游戏外挂,这个从端游时代就出现的问题也困扰着手游,自动打怪、自动升级等辅助类外挂能够代替手工操作,让整个手游完全自动化,这样虽然表面上提高了单个用户时长,实际上这都是无效的时间,因为这样会大大降低游戏互动性,增加其它玩家的游戏成本,从而流失真正用户 ; 其次就是游戏破解,破解游戏协议,找到游戏漏洞,或者直接模拟数据发包,严重威胁游戏的平衡性,缩短游戏的生命周期,大大增加开发团队的开发成本 ; 手游还存在很多游戏加速器和篡改器,玩家可以很方便下载到这些工具,用来修改游戏数据,直接影响游戏平衡,流失付费玩家。
近期评论