امنیت بازی و اپ
فهرست مطالب
آخرین به روزرسانی در 20/02/2023
بازی های موبایل مطمئناً یکی از برنامه های مورد علاقه کاربران تلفن های هوشمند هستند. صنعت بازی سازی به حدی عظیم است که تا پایان سال 2019 ، صنعت بازی های جهانی 152 میلیارد دلار ارزش داشت و 45 درصد از این درآمد ، یعنی 68.5 میلیارد دلار ، از بازی های تلفن همراه تأمین می شد.
به دلیل افزایش بی سابقه تعداد کاربران تلفن های هوشمند ، به نظر می رسد این رشد سریع در صنعت بازی های اندرویدی و IOS نیز توجیه پذیر باشد.
در حالی که همه اینها بسیار جذاب و پر درآمد به نظر می رسد ، صاحبان و توسعه دهندگان شرکت های بازی سازی باید این واقعیت را بپذیرند که تهدید آشکار امنیت سایبری نهفته است.
در حقیقت ، این خطر بسیار زیاد است به طوری که کل صنعت بازی سازی تقریباً بین 12 نوامبر 2017 تا مارس 2019 تقریباً 12 میلیارد حملات اعتباری و امنیتی گزارش داده شده است .
با وجود این آمار هشدار دهنده ، اکثر توسعه دهندگان بازی های موبایلی نمی دانند که این خطرات امنیتی چقدر می تواند بر درآمد کلی و شهرت برند آنها تأثیر بگذارد. بنابراین ، بیایید نگاهی به برخی از تهدیدات امنیت بازی های موبایل در حال حاضر بیندازیم و اینکه توسعه دهندگان در این زمینه چه کاری می توانند انجام دهند . (لازم به ذکر است تمامی مواردی که در پایین گفته خواهد شد مواردی می باشد که واحد بازی سازی شرکت ایرانیان ماناتاز در توسعه و روند ساخت بازی ها تمامی آن ها را به بهترین شکل برای جلوگیری از مشکلات امنیت بازی لحاظ خواهد کرد و همچنین در قراردادهای کاری متعهد به حفظ امنیت بازی شما می شود ؛ پس می توان نتیجه گرفت شما در همکاری با ماناتاز برای بازی سازی جای هیچگونه نگرانی را نخواهید داشت.)
بزرگ ترین تهدیدات امنیتی بازی و اپلیکیشن به شرح زیر می باشد :
1- مهندسی معکوس و بد افزار
بازی هایی که از محبوبیت و کاربران بسیار بالاتری نسبت به سایر بازی ها برخوردار هستند ، در برابر حملات مهندسی معکوس و آلودگی بدافزارها آسیب پذیرتر هستند.
گیم دیزاین ، افزودنی های بازی ، کد و دارایی های بازی می توانند توسط هکرها مهندسی معکوس شده و مجدداً بسته بندی شوند تا به عنوان یک کلون یا ماد در بازار عرضه شوند.
اکثر این بازی های شبیه سازی شده نیز به بدافزار آلوده هستند و به طور غیر مستقیم بر شهرت بازی اصلی تأثیر می گذارد. یک بازی به نام Flappy Bird در سال 2014 در اپ استور اپل معرفی شد و خیلی زود پس از عرضه ، به یکی از برترین بازی های رایگان فروشگاه تبدیل شد.
توسعه دهندگان ادعا کردند که آنها فقط از فروش و تبلیغات روزانه حدود 50،000 دلار درآمد کسب می کنند. با کمال تعجب ، پس از یک ماه ، روزانه 60 کلون و ماد یا بیشتر از بازی به فروشگاه اضافه می شد و اکثر آنها نیز به بدافزارهای گوناگونی آلوده بودند که حفره های امنیتی بسیار زیادی را ایجاد می کردند .
2- اشکالات در سیستم خرید درون برنامه ای
همانطور که در مقالات پی در پی و قسمت راه های درآمدزایی در صفحه ی سفارش بازی گفته شد ، اکثر بازی های موبایل برای درآمد کامل خود به خریدهای درون برنامه ای متکی هستند ، اکثر این سیستم های خرید دارای نقص امنیتی جدی هستند که به هکرها اجازه می دهد به صورت رایگان به موارد اضافی و عملکردهای امنیت بازی دسترسی پیدا کنند.
در واقع ، در سال 2012 ، یک نقص در سیستم خرید درون برنامه ای اپل به هکرها اجازه داد 8.4 میلیون خرید کاذب انجام دهند. بیش از 115 بازی تحت تاثیر این نقص قرار گرفتند و درآمد ناشی از آن بین 8.3 تا 840 میلیون دلار بود.
3- نصب های غیر مجاز
تعداد زیادی فروشگاه های حاشیه ای برای برنامه های تلفن همراه در سراسر جهان وجود دارد که اکثریت آنها اپلیکیشن ها و بازی های Android را ارائه می دهند.
آنچه در واقعیت اتفاق می افتد این است که این فروشگاه های نامعتبر میزبان نسخه های دزدی یا شبیه سازی شده اپلیکیشن ها (به ویژه بازی ها) هستند.
این برنامه های جعلی نه تنها حاوی بدافزار هستند ، بلکه هر گونه درآمدی را برای توسعه دهندگان واقعی بازی محروم می کنند.
برخی از توسعه دهندگان بازی های موبایل نرخ این کلاه برداری را تا 90 درصد برای بازی های خود گزارش کرده اند.
۴-Cross-site scripting
برخی از بازی ها ممکن است از روشهای ناامن برای پردازش اعتبار ورود شما استفاده کنند.
این آنها را در برابر تکنیک هک به نام Cross-site scripting (XSS) آسیب پذیر می کند و مجرمان را قادر می سازد آن جزئیات را رهگیری و سرقت کنند.
۵-حملات DDoS
حملات Distributed Denial of Service (DDoS) زمانی رخ می دهد که هکرها سعی می کنند سرورهای بازی را بیش از حد بارگذاری کنند ؛ که این امر باعث خرابی می شود و سرویس را آفلاین می کند.
این شامل سرقت اطلاعات کاربر نیست ، اما همچنان برای کاربران آزاردهنده است و زمان از کار افتادن و بازیابی میتواند برای ارائهدهنده بازی پرهزینه باشد.
راه حل ها :
۱- ایمن سازی کدها
کد کنترل نشده منجر به آلوده شدن بدافزار تلفن همراه به زیرساخت های برنامه می شود. این باعث ایجاد اشکالات و آسیب پذیری در بازی می شود و اغلب این نکته توسط توسعه دهندگان نادیده گرفته می شود.
به تازگی ، مجله Infosecurity گزارشی منتشر کرده است که نشان می دهد کد مخرب بیش از 11.5 میلیون دستگاه تلفن همراه را در یک زمان معین آلوده می کند و احتمال می رود که در آینده تعداد آنها چند برابر شود.
توسعه دهندگان برای امنیت بازی باید کد خود را به منظور شناسایی و پاسخگویی به آسیب پذیری ها به طور کامل ارزیابی کنند.
این امر برنامه های بازی آنها را در برابر تهدیدات امنیتی موجود مانند حملات تزریق و مهندسی معکوس مصون می دارد و مطمئناً از پخش برنامه های مخرب در بازار جلوگیری می کند.
۲- امنیت دستگاه
به همان اندازه ی امنیت کدنویسی ، امنیت دستگاه تلفن همراه شما نیز اهمیت دارد. بسته به زیرساخت برنامه ، توسعه دهندگان باید راه هایی برای بررسی و اطمینان از امنیت دستگاه میزبان ارائه دهند.
یکی از اصلی ترین مواردی که توسعه دهنده باید بررسی کند این است که آیا سندباکس برنامه در سیستم عامل تلفن همراه سالم است یا خیر.
دستگاههایی که روت شده اند تهدید بزرگی هستند زیرا ممکن است مدل امنیتی آنها به دلایلی مختل شده باشد.
هکرها همچنین می توانند از مجوزهای اضافی داده شده به برنامه ها استفاده کرده و بدافزارهای آنها را تحت فشار قرار دهند تا دسترسی های اولیه مانند SMS و مخاطبین را بدست آورند و از آنها برای فعالیت های کلاهبرداری استفاده کنند.
به طور کلی ، امنیت بازی شما علاوه بر عملکردهای توسعه دهندگان نیز به سطح امنیتی بستگی دارد که توسط کاربران در دستگاه های خود حفظ می شود.
۳- ایمن سازی درگاه های پرداخت
حتی کوچکترین خطایی در سیستم خرید درون برنامه ای شما می تواند میلیارد ها تومان برای کسب و کار شما ضرر ایجاد کند .
توسعه دهندگان بازی ها باید بک اند بازی را به نحوی برنامه نویسی کنند تا نقاط حساس سیستم پرداخت خود را شناسایی کرده و همچنین از تکنیک های مبهم سازی کد استفاده کنند تا دسترسی هکرها به سیستم دشوار شود.
این عملکردها نه تنها سیستم پرداخت شما را ایمن می کند ، بلکه زمان کافی را برای واکنش امنیتی در صورت نقض امنیتی به شما می دهد.
از آنجا که حتی کد مبهم را می توان با ابزارهای خودکار مدرن رمزگشایی کرد ، استفاده از تکنیک های برنامه نویسی تمیز و تکیه بر زیرساخت مناسب برنامه توصیه شده تر است.
۴- سرور بازی
قطعا سرورهای بازی آنلاین راحت ترین اهداف هکرها هستند. آنها بیشتر به دلیل حجم داده های حساسی که در اختیار دارند مورد هدف قرار می گیرند.
به همین دلیل است که باید همه محافظ های مورد نیاز مانند فایروال ، آزمایشات QA ، سیستم های تشخیص نفوذ و … را روی سرورهای بازی خود قرار دهید.
این واقعیت که امنیت سرورها به اندازه برنامه بازی اهمیت دارد ، نمی تواند در هر سطحی نادیده گرفته شود.
ما در مقاله ی سرور بازی به معرفی مشخصات بهترین سرور های بازی پرداختیم اما بدون شک ، سرور سیستم باید با نرم افزارهای امنیتی و فایروال محافظت شود و ارتباطات سرویس گیرنده-سرور باید از طریق SSL و سایر روشهای ایمن تر انجام شود ؛ از آنجا که دسترسی به تمام داده های سمت سرور از طریق سمت سرویس گیرنده اتفاق می افتد ، اجرای مشابه حفاظت باید در سمت سرویس گیرنده برنامه نیز انجام شود.
۵- جلوگیری از هک حافظه
استراتژی اتخاذ شده توسط بازی های رایگان ، معرفی خریدهای درون برنامه ای موارد خاص است که بازیکنان را قادر می سازد عملکرد بهتری داشته باشند یا موانع خاصی را سریعتر پشت سر بگذارند.
هک حافظه به سادگی نقطه ذخیره این اقلام را جدا کرده و به هکر دسترسی نقدی یا طلای نامحدود درون بازی می دهد.
در اکثر بازی های تلفن همراه ، اقدامات انجام شده توسط یک پخش کننده در دستگاه محلی خود ضبط شده و قبل از انتقال به سرور دسته بندی می شوند.
این مانع از تأخیر شبکه می شود و تجربه بازی را بهتر می کند؛ این امر هکرها را قادر می سازد تا از ابزارهای هک حافظه استفاده کرده و دسته های مورد را هدف قرار داده و یک ابزار اصلاح را برای دسترسی به حافظه برنامه و گاهی پرداخت های درون برنامه ای پیوست کنند.
با این حال ، با تشخیص هرگونه تلاش برای اصلاح حافظه خارجی و پاسخ به آن می توان از این امر جلوگیری کرد. این امر یا در صورتی امکان پذیر است که توسعه دهنده بتواند برخی اقدامات پیشگیرانه از هک حافظه را در خود بازی ایجاد کند یا گزینه دیگر این است که به سراغ ابزارهای تجاری موجود بروید.
از آنجا که راه حل های تجاری مجهز به منابع بیشتری هستند و زمان بیشتری را صرف تحقیق می کنند ، در این سناریو باید گزینه ای مناسب تر باشد.
۶- انتشار بازی در مارکت های مطمئن
سعی کنید تا جای ممکن بازی یا اپلیکیشن خود را در مارکت های رسمی یعنی گوگل پلی و اپ استور انتشار دهید .
گاهی اوقات انتشار اپ یا بازی در مارکت های جایگذین و غیر رسمی باعث بروز مشکلات امنیتی شدیدی با استفاده از بدافزارها برای اپ یا بازی شما می شود .
در آخرین به روزرسانی های گوگل تغییراتی اتفاق افتاده است که تمامی اپلیکیشن های داخل گوگل پلی از امضای رسمی خود گوگل استفاده می کنند و این بازار انتشار اپ را از لحاظ امنیتی قابل اعتماد تر کرده است .
(برای کسب اطلاعات بیشتر در این رابطه به مقاله ی فرمت AAB مراجعه کنید .)