2013中國網(wǎng)絡(luò)游戲安全拷問

在經(jīng)歷了十多年的發(fā)展黃金時期之后，網(wǎng)絡(luò)游戲已經(jīng)成為中國互聯(lián)網(wǎng)產(chǎn)業(yè)最耀眼和顯著的領(lǐng)域，伴隨其一起發(fā)展壯大的還有虛擬物品交易等周邊市場。2012年國內(nèi)游戲產(chǎn)業(yè)總產(chǎn)值為1089.47 億元人民幣，而虛擬物品交易的二級市場則成長為一個交易額超過100億元的巨大市場，增長十分迅猛。

然而，日益嚴(yán)重的安全問題也如影而至不斷滋生。根據(jù)有關(guān)數(shù)據(jù)表明， 2012年度檢測到受病毒感染的游戲高達(dá)3700多款，《憤怒的小鳥》、《割繩子》、《搗蛋豬》、《植物大戰(zhàn)僵尸》、《鱷魚愛洗澡》、《水果忍者》、《神廟逃亡》等熱門游戲無一幸免，感染用戶將近2億人次。2012年我國移動互聯(lián)網(wǎng)被攔截的惡意代碼包數(shù)量就達(dá)到16萬，今年總數(shù)更超過去年的1.72倍。

安全是人的基本需求之一，在現(xiàn)實和網(wǎng)絡(luò)游戲的虛擬世界中同樣需要，如虛擬財產(chǎn)的安全需求，公平競爭競技的需求，健康良性的公共環(huán)境的需要，游戲整體穩(wěn)定運營的需求等。目前，安全問題已經(jīng)成為導(dǎo)致玩家流失的首要因素，嚴(yán)重影響游戲健康發(fā)展，這些都是游戲廠商所無法忽視的。

游戲安全問題由來已久

網(wǎng)絡(luò)游戲十幾年的發(fā)展滋生出了外掛、私服、盜號、打金工作室、網(wǎng)絡(luò)信息詐騙等一系列的黑色或灰色產(chǎn)業(yè)鏈。國內(nèi)游戲玩家安全意識普遍不足，游戲外掛對木馬精確投放的促進，游戲自身安全體系的先天不足，都為黑色產(chǎn)業(yè)鏈的生長提供了肥沃的土壤。

今年上半年，沸沸揚揚的“洗錢門”令史玉柱的巨人游戲大受打擊，也讓人猛然意識到，游戲安全已經(jīng)不是一個可以遮遮掩掩的小問題，而是有可能對于社會經(jīng)濟造成巨大沖擊的黑洞，處理不善會對多方面帶來不可估量的損失。

和能夠迅速自我復(fù)制、動輒對系統(tǒng)帶來巨大損壞的PC電腦病毒相比，手機、平板等移動設(shè)備的系統(tǒng)對管理權(quán)限有著嚴(yán)格限制，手機病毒稱為“惡意程序”更加準(zhǔn)確，也因此更具備隱蔽性和欺詐性。在目前傳播的手機惡意程序當(dāng)中，有一半是通過惡意扣費、資費消耗、流量偷跑、欺詐、盜號等給用戶帶來經(jīng)濟損失，而80%的手機惡意軟件存在兩種或兩種以上惡意行為。

近年國內(nèi)移動智能設(shè)備得到迅速普及，特別是開源的安卓平臺的發(fā)展，為軟件開發(fā)者提供了很大的發(fā)揮空間，但也在很大程度上帶來了安全隱患。據(jù)信息安全公司F-Secure一份報告結(jié)果，2012年安卓平臺的惡意軟件占所有惡意軟件的79%，而iOS僅占0.7%。其中第三方應(yīng)用商店、論壇是當(dāng)前游戲木馬的主要傳播途徑，另有23.4%存在于水貨手機的ROM刷機包中，而時下流行的二維碼、短網(wǎng)址也正在成為游戲木馬的溫床，有16.5%的手機木馬借此來偽裝傳播。黑色的商業(yè)利益驅(qū)動手機病毒產(chǎn)業(yè)鏈的發(fā)展，甚至一些手機安全服務(wù)廠商也被卷入其中。

2013年第三季度的最新數(shù)據(jù)表明，手機病毒來源渠道繼續(xù)呈現(xiàn)出分散化與多元化的特性，電子市場與手機論壇依然占據(jù)相對第一與第二的比例，ROM內(nèi)置、二維碼、網(wǎng)盤傳播等新方式的數(shù)量級也在不斷攀升。

另一方面，很多游戲在安裝后都會讀取和監(jiān)控用戶的通話記錄、手機號碼、IMEI號碼且獲得發(fā)送短信等不必要的權(quán)限。360安全中心通過對1000款熱門手機游戲進行抽樣的權(quán)限分析后發(fā)現(xiàn)，其中59%存在調(diào)用過多權(quán)限的情況。在非必要情況下讀取用戶通訊錄、短信、位置信息，這些都有潛在的扣費、竊取隱私危險。而目前國內(nèi)網(wǎng)民普遍存在對手機病毒認(rèn)知不足、對隱私保護漠不關(guān)心的情況，也使得手機游戲安全問題顯得尤為嚴(yán)重。

在法律層面，相關(guān)法律法規(guī)的制訂一直相對滯后，但擺在司法界面前的已經(jīng)不是虛擬財產(chǎn)是否應(yīng)當(dāng)受到法律保護，而是如何保護的問題，在尋回虛擬財產(chǎn)時產(chǎn)生的法律糾紛處理上，也應(yīng)當(dāng)依照現(xiàn)實世界中的標(biāo)準(zhǔn)進行，不應(yīng)任由游戲公司在虛擬世界中既當(dāng)“立法者”又當(dāng)“執(zhí)法者”。

而在病毒監(jiān)控查殺的過程中，安全公司能夠監(jiān)測到的只是經(jīng)過多次IP跳轉(zhuǎn)的數(shù)據(jù)而已，所能做的工作事實上十分有限，很難對整個病毒鏈進行有效遏制，需要得到其他各個環(huán)節(jié)的協(xié)助，比如說電信運營商可以幫助識別IP跳轉(zhuǎn)的路徑，而政府相關(guān)主管部門可以對上下游廠商關(guān)系進行一些管理，保障信息情報的互通，并從經(jīng)濟上切斷病毒鏈條。

游戲安全防護向金融級別靠攏

通過正規(guī)安全的渠道下載官方版支付、工具、游戲等各類手機APP，以及從正規(guī)的渠道購買手機或刷ROM包，是避免感染惡意程序最基本的做法。在日常生活中，用戶應(yīng)該對二維碼的可靠程度進行甄別，安裝具備二維碼惡意網(wǎng)址攔截的安全軟件，或者用帶有安全識別的二維碼工具進行二維碼掃描，“見碼就掃”很容易使得惡意程序有機可乘。

手機和平板設(shè)備的ROOT權(quán)限通常并沒有對普通用戶開放，而用戶自行越獄或者獲取ROOT權(quán)限會造成安全級別的大幅下降，同樣可能被利用而造成巨大危害。得益于APP STORE對于第三方應(yīng)用的嚴(yán)格審核，IOS越獄的后果還不算嚴(yán)重，而安卓在各大安全廠商推出修復(fù)補丁的同時，身為官方的谷歌同時也采取緊縮政策以規(guī)避風(fēng)險，從4.3版本開始，安卓限制了Root權(quán)限的提升，從前必須要ROOT權(quán)限的諸多安全方面的操作都改由向用戶提供 API和擴展完成，雖然在一定程度上提升了安全等級，但是也引起了限制用戶行動的爭議。

和諸如360，騰訊手機管家等安全廠商進行合作，是絕大多數(shù)的應(yīng)用商店和手機廠商的選擇，就像應(yīng)用匯COO袁聰說的那樣：“專業(yè)的事情交給專業(yè)的人士去辦?！币话愕膽?yīng)用商店只需要在盡力確保通過自己提供給用戶的應(yīng)用安全即可。從今年上半年開始，中興、華為、三星、聯(lián)想等國產(chǎn)手機廠商強化了和安全廠商之間的合作，以保證在無須Root的條件下實現(xiàn)系統(tǒng)底層安全服務(wù)。

不過體量較大的應(yīng)用商店可能形成屬于自身的一套完整的安全體系，比如說中國移動游戲基地提供快捷支付、動態(tài)驗證碼、支付密碼在內(nèi)多種支付方式，并根據(jù)業(yè)務(wù)性質(zhì)、用戶偏好、使用場景和環(huán)境推薦給CP合適的支付方式，目前這些功能都已經(jīng)集成在最新的SDK當(dāng)中，方便開發(fā)者的調(diào)用。在運營商游戲平臺占主導(dǎo)地位的話費支付因為過于簡單，過去有過被盜用、付費提示過于簡單模糊等問題，新的安全支付SDK也已經(jīng)可以比較完美的解決。技術(shù)解決只是一個方面，游戲基地同時還推出了安全指導(dǎo)規(guī)范，指導(dǎo)CP合理合法合規(guī)的調(diào)用系統(tǒng)權(quán)限，從而構(gòu)成復(fù)合式和前瞻式的安全防護體系。

從整體來看，游戲行業(yè)的安全保障級別是比較低的，和傳統(tǒng)的金融行業(yè)無法相提并論。事實上，很多成熟的經(jīng)驗可以很方便地進行移植，比如說銀行業(yè)廣泛應(yīng)用的“風(fēng)險控制機制”。推出過“駿卡一卡通”等游戲點卡系統(tǒng)的匯元網(wǎng)CEO吳洪彬認(rèn)為，要保證游戲的交易安全，首先是在技術(shù)層面，如從加密體系、服務(wù)器安全結(jié)構(gòu)、運維的安全下手；第二個就是內(nèi)部控制問題，相關(guān)的管理人員要確保不能出現(xiàn)問題；而第三是風(fēng)險控制，整個交易支付的流程、判斷、管理方面需要更專業(yè)，這通常是游戲廠商們最需要改進的。

風(fēng)險控制系統(tǒng)是在后臺進行的一大塊工作，通常會先根據(jù)交易金額的大小、用戶的IP地址、使用的頻度、購買對象等整體行為來判斷用戶是否安全；其次需要在海量的用戶數(shù)據(jù)中進行分析、挖掘，來區(qū)分正常用戶和非正常用戶的交易習(xí)慣的區(qū)別，首先建立起適用規(guī)則，然后再建立規(guī)則集群，使之可以比較完美地模擬和推測正常用戶的底線和行動模型，從而把非正常的交易區(qū)分出來。

吳洪彬認(rèn)為，匯元網(wǎng)經(jīng)過2年多的摸索，風(fēng)險控制系統(tǒng)已經(jīng)比較成熟和完備，誤判率已經(jīng)從降低到了一個比較小的區(qū)間，借此曾經(jīng)幫助過玩家挽回很多損失，最大的一筆金額達(dá)到了30萬；而另外一個案例是小米手機的網(wǎng)上預(yù)售，不少用戶因為偽造網(wǎng)站被釣魚，但其中經(jīng)過風(fēng)險控制系統(tǒng)甄別的資金全部被認(rèn)定為異常，因而被凍結(jié)攔截，然后逐一退還給了用戶。

行業(yè)自律和政府監(jiān)管的加強

事實上，國內(nèi)從立法或司法解釋層面已經(jīng)有過多次將虛擬財產(chǎn)明確列入刑法保護的嘗試，2003年曾有律師聯(lián)名向全國人大法律委員會寄出《保護網(wǎng)絡(luò)虛擬財產(chǎn)立法建議書》；2009年10月16日，最高人民法院、最高人民檢察院在《關(guān)于執(zhí)行〈中華人民共和國刑法〉確定罪名的補充規(guī)定（四）》中，又新增加了“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”，以及“非法控制計算機信息系統(tǒng)罪和提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪”兩個罪名。

在大型游戲廠商的推動下，游戲行業(yè)的自律和政府部門的監(jiān)管強化基本上同步進行。2013年最典型的例子就是《移動互聯(lián)網(wǎng)黑白名單規(guī)范》的通信行業(yè)規(guī)范的浮出水面。

作為安全聯(lián)盟的牽頭人，中國移動游戲基地之前就組建了“泛游戲”聯(lián)盟，倡導(dǎo)“綠色游戲、和諧生活”，安全問題是其中很重要的一個課題。作為互聯(lián)網(wǎng)業(yè)務(wù)的經(jīng)典應(yīng)用，移動游戲業(yè)務(wù)和傳統(tǒng)的電信業(yè)務(wù)不太一樣，很多環(huán)節(jié)并不掌握在運營商手里，平臺、發(fā)布渠道、終端、安全廠家等都是獨立的實體，對于所有這些環(huán)節(jié)來說，傳統(tǒng)的安全策略都已經(jīng)無法應(yīng)對開放性的游戲安全問題了，這些因素最終促成了安全聯(lián)盟的產(chǎn)生。

安全聯(lián)盟首先對游戲扣費行為做出了統(tǒng)一的規(guī)范，其次意在全面消除偽裝成游戲應(yīng)用的病毒對用戶端的侵蝕，最后融合了此前一直相對獨立的CP、渠道、平臺、運營商各自的安全工作，實現(xiàn)對整個生態(tài)鏈的無縫覆蓋。

另一方面，白名單本身的要求非常嚴(yán)格，需要經(jīng)過多輪嚴(yán)格審定，且一旦出現(xiàn)了一次安全問題，就會被從名單中剔除出去，從而保障了名單的絕對可信。白名單能夠保障正常安全的游戲包在發(fā)行過程中暢通無阻，對于競爭激烈的游戲行業(yè)也有一定的指向作用。

比如說，之前很多游戲都有獲取用戶信息的權(quán)限要求，實際上只是作為身份識別和軟件自身認(rèn)證用的，如通過獲取手機的通話狀態(tài)在來電的時候?qū)崿F(xiàn)暫停恢復(fù)，但是可能會造成用戶的困惑。白名單可以把這些行為進行規(guī)范，把正常保障用戶體驗的行為與真正的惡意行為進行區(qū)分，對游戲開發(fā)者來說無疑是一大利好。

政府的監(jiān)管有助于建立統(tǒng)一的行業(yè)安全標(biāo)準(zhǔn)，能有效保障廣大用戶利益，配合游戲行業(yè)自身充分的自律和自我防護進行，才能有效覆蓋到所有方面。運營商、CP、渠道以及安全廠商等游戲行業(yè)的所有環(huán)節(jié)，都可以在安全聯(lián)盟的框架下進行技術(shù)交流、信息共享、樣本交換、白名單發(fā)布等多種方式的合作，共同為提升游戲行業(yè)的安全保障作出貢獻(xiàn)。

結(jié)語：要應(yīng)對層出不窮的游戲安全問題，需要整個行業(yè)乃至整個社會的通力合作，在游戲行業(yè)逐漸形成統(tǒng)一戰(zhàn)線的同時，違法和黑色的產(chǎn)業(yè)鏈也在不斷變化和發(fā)展之中，這將會是一場沒有終結(jié)的對抗。