在經(jīng)歷了十多年的發(fā)展黃金時期之后,網(wǎng)絡(luò)游戲已經(jīng)成為中國互聯(lián)網(wǎng)產(chǎn)業(yè)最耀眼和顯著的領(lǐng)域,伴隨其一起發(fā)展壯大的還有虛擬物品交易等周邊市場。2012年國內(nèi)游戲產(chǎn)業(yè)總產(chǎn)值為1089.47 億元人民幣,而虛擬物品交易的二級市場則成長為一個交易額超過100億元的巨大市場,增長十分迅猛。
然而,日益嚴(yán)重的安全問題也如影而至不斷滋生。根據(jù)有關(guān)數(shù)據(jù)表明, 2012年度檢測到受病毒感染的游戲高達(dá)3700多款,《憤怒的小鳥》、《割繩子》、《搗蛋豬》、《植物大戰(zhàn)僵尸》、《鱷魚愛洗澡》、《水果忍者》、《神廟逃亡》等熱門游戲無一幸免,感染用戶將近2億人次。2012年我國移動互聯(lián)網(wǎng)被攔截的惡意代碼包數(shù)量就達(dá)到16萬,今年總數(shù)更超過去年的1.72倍。
安全是人的基本需求之一,在現(xiàn)實和網(wǎng)絡(luò)游戲的虛擬世界中同樣需要,如虛擬財產(chǎn)的安全需求,公平競爭競技的需求,健康良性的公共環(huán)境的需要,游戲整體穩(wěn)定運營的需求等。目前,安全問題已經(jīng)成為導(dǎo)致玩家流失的首要因素,嚴(yán)重影響游戲健康發(fā)展,這些都是游戲廠商所無法忽視的。
游戲安全問題由來已久
網(wǎng)絡(luò)游戲十幾年的發(fā)展滋生出了外掛、私服、盜號、打金工作室、網(wǎng)絡(luò)信息詐騙等一系列的黑色或灰色產(chǎn)業(yè)鏈。國內(nèi)游戲玩家安全意識普遍不足,游戲外掛對木馬精確投放的促進,游戲自身安全體系的先天不足,都為黑色產(chǎn)業(yè)鏈的生長提供了肥沃的土壤。
今年上半年,沸沸揚揚的“洗錢門”令史玉柱的巨人游戲大受打擊,也讓人猛然意識到,游戲安全已經(jīng)不是一個可以遮遮掩掩的小問題,而是有可能對于社會經(jīng)濟造成巨大沖擊的黑洞,處理不善會對多方面帶來不可估量的損失。
和能夠迅速自我復(fù)制、動輒對系統(tǒng)帶來巨大損壞的PC電腦病毒相比,手機、平板等移動設(shè)備的系統(tǒng)對管理權(quán)限有著嚴(yán)格限制,手機病毒稱為“惡意程序”更加準(zhǔn)確,也因此更具備隱蔽性和欺詐性。在目前傳播的手機惡意程序當(dāng)中,有一半是通過惡意扣費、資費消耗、流量偷跑、欺詐、盜號等給用戶帶來經(jīng)濟損失,而80%的手機惡意軟件存在兩種或兩種以上惡意行為。
近年國內(nèi)移動智能設(shè)備得到迅速普及,特別是開源的安卓平臺的發(fā)展,為軟件開發(fā)者提供了很大的發(fā)揮空間,但也在很大程度上帶來了安全隱患。據(jù)信息安全公司F-Secure一份報告結(jié)果,2012年安卓平臺的惡意軟件占所有惡意軟件的79%,而iOS僅占0.7%。其中第三方應(yīng)用商店、論壇是當(dāng)前游戲木馬的主要傳播途徑,另有23.4%存在于水貨手機的ROM刷機包中,而時下流行的二維碼、短網(wǎng)址也正在成為游戲木馬的溫床,有16.5%的手機木馬借此來偽裝傳播。黑色的商業(yè)利益驅(qū)動手機病毒產(chǎn)業(yè)鏈的發(fā)展,甚至一些手機安全服務(wù)廠商也被卷入其中。
2013年第三季度的最新數(shù)據(jù)表明,手機病毒來源渠道繼續(xù)呈現(xiàn)出分散化與多元化的特性,電子市場與手機論壇依然占據(jù)相對第一與第二的比例,ROM內(nèi)置、二維碼、網(wǎng)盤傳播等新方式的數(shù)量級也在不斷攀升。
另一方面,很多游戲在安裝后都會讀取和監(jiān)控用戶的通話記錄、手機號碼、IMEI號碼且獲得發(fā)送短信等不必要的權(quán)限。360安全中心通過對1000款熱門手機游戲進行抽樣的權(quán)限分析后發(fā)現(xiàn),其中59%存在調(diào)用過多權(quán)限的情況。在非必要情況下讀取用戶通訊錄、短信、位置信息,這些都有潛在的扣費、竊取隱私危險。而目前國內(nèi)網(wǎng)民普遍存在對手機病毒認(rèn)知不足、對隱私保護漠不關(guān)心的情況,也使得手機游戲安全問題顯得尤為嚴(yán)重。
在法律層面,相關(guān)法律法規(guī)的制訂一直相對滯后,但擺在司法界面前的已經(jīng)不是虛擬財產(chǎn)是否應(yīng)當(dāng)受到法律保護,而是如何保護的問題,在尋回虛擬財產(chǎn)時產(chǎn)生的法律糾紛處理上,也應(yīng)當(dāng)依照現(xiàn)實世界中的標(biāo)準(zhǔn)進行,不應(yīng)任由游戲公司在虛擬世界中既當(dāng)“立法者”又當(dāng)“執(zhí)法者”。
而在病毒監(jiān)控查殺的過程中,安全公司能夠監(jiān)測到的只是經(jīng)過多次IP跳轉(zhuǎn)的數(shù)據(jù)而已,所能做的工作事實上十分有限,很難對整個病毒鏈進行有效遏制,需要得到其他各個環(huán)節(jié)的協(xié)助,比如說電信運營商可以幫助識別IP跳轉(zhuǎn)的路徑,而政府相關(guān)主管部門可以對上下游廠商關(guān)系進行一些管理,保障信息情報的互通,并從經(jīng)濟上切斷病毒鏈條。
游戲安全防護向金融級別靠攏
通過正規(guī)安全的渠道下載官方版支付、工具、游戲等各類手機APP,以及從正規(guī)的渠道購買手機或刷ROM包,是避免感染惡意程序最基本的做法。在日常生活中,用戶應(yīng)該對二維碼的可靠程度進行甄別,安裝具備二維碼惡意網(wǎng)址攔截的安全軟件,或者用帶有安全識別的二維碼工具進行二維碼掃描,“見碼就掃”很容易使得惡意程序有機可乘。
手機和平板設(shè)備的ROOT權(quán)限通常并沒有對普通用戶開放,而用戶自行越獄或者獲取ROOT權(quán)限會造成安全級別的大幅下降,同樣可能被利用而造成巨大危害。得益于APP STORE對于第三方應(yīng)用的嚴(yán)格審核,IOS越獄的后果還不算嚴(yán)重,而安卓在各大安全廠商推出修復(fù)補丁的同時,身為官方的谷歌同時也采取緊縮政策以規(guī)避風(fēng)險,從4.3版本開始,安卓限制了Root權(quán)限的提升,從前必須要ROOT權(quán)限的諸多安全方面的操作都改由向用戶提供 API和擴展完成,雖然在一定程度上提升了安全等級,但是也引起了限制用戶行動的爭議。
和諸如360,騰訊手機管家等安全廠商進行合作,是絕大多數(shù)的應(yīng)用商店和手機廠商的選擇,就像應(yīng)用匯COO袁聰說的那樣:“專業(yè)的事情交給專業(yè)的人士去辦?!币话愕膽?yīng)用商店只需要在盡力確保通過自己提供給用戶的應(yīng)用安全即可。從今年上半年開始,中興、華為、三星、聯(lián)想等國產(chǎn)手機廠商強化了和安全廠商之間的合作,以保證在無須Root的條件下實現(xiàn)系統(tǒng)底層安全服務(wù)。
不過體量較大的應(yīng)用商店可能形成屬于自身的一套完整的安全體系,比如說中國移動游戲基地提供快捷支付、動態(tài)驗證碼、支付密碼在內(nèi)多種支付方式,并根據(jù)業(yè)務(wù)性質(zhì)、用戶偏好、使用場景和環(huán)境推薦給CP合適的支付方式,目前這些功能都已經(jīng)集成在最新的SDK當(dāng)中,方便開發(fā)者的調(diào)用。在運營商游戲平臺占主導(dǎo)地位的話費支付因為過于簡單,過去有過被盜用、付費提示過于簡單模糊等問題,新的安全支付SDK也已經(jīng)可以比較完美的解決。技術(shù)解決只是一個方面,游戲基地同時還推出了安全指導(dǎo)規(guī)范,指導(dǎo)CP合理合法合規(guī)的調(diào)用系統(tǒng)權(quán)限,從而構(gòu)成復(fù)合式和前瞻式的安全防護體系。
從整體來看,游戲行業(yè)的安全保障級別是比較低的,和傳統(tǒng)的金融行業(yè)無法相提并論。事實上,很多成熟的經(jīng)驗可以很方便地進行移植,比如說銀行業(yè)廣泛應(yīng)用的“風(fēng)險控制機制”。推出過“駿卡一卡通”等游戲點卡系統(tǒng)的匯元網(wǎng)CEO吳洪彬認(rèn)為,要保證游戲的交易安全,首先是在技術(shù)層面,如從加密體系、服務(wù)器安全結(jié)構(gòu)、運維的安全下手;第二個就是內(nèi)部控制問題,相關(guān)的管理人員要確保不能出現(xiàn)問題;而第三是風(fēng)險控制,整個交易支付的流程、判斷、管理方面需要更專業(yè),這通常是游戲廠商們最需要改進的。
風(fēng)險控制系統(tǒng)是在后臺進行的一大塊工作,通常會先根據(jù)交易金額的大小、用戶的IP地址、使用的頻度、購買對象等整體行為來判斷用戶是否安全;其次需要在海量的用戶數(shù)據(jù)中進行分析、挖掘,來區(qū)分正常用戶和非正常用戶的交易習(xí)慣的區(qū)別,首先建立起適用規(guī)則,然后再建立規(guī)則集群,使之可以比較完美地模擬和推測正常用戶的底線和行動模型,從而把非正常的交易區(qū)分出來。
吳洪彬認(rèn)為,匯元網(wǎng)經(jīng)過2年多的摸索,風(fēng)險控制系統(tǒng)已經(jīng)比較成熟和完備,誤判率已經(jīng)從降低到了一個比較小的區(qū)間,借此曾經(jīng)幫助過玩家挽回很多損失,最大的一筆金額達(dá)到了30萬;而另外一個案例是小米手機的網(wǎng)上預(yù)售,不少用戶因為偽造網(wǎng)站被釣魚,但其中經(jīng)過風(fēng)險控制系統(tǒng)甄別的資金全部被認(rèn)定為異常,因而被凍結(jié)攔截,然后逐一退還給了用戶。
行業(yè)自律和政府監(jiān)管的加強
事實上,國內(nèi)從立法或司法解釋層面已經(jīng)有過多次將虛擬財產(chǎn)明確列入刑法保護的嘗試,2003年曾有律師聯(lián)名向全國人大法律委員會寄出《保護網(wǎng)絡(luò)虛擬財產(chǎn)立法建議書》;2009年10月16日,最高人民法院、最高人民檢察院在《關(guān)于執(zhí)行〈中華人民共和國刑法〉確定罪名的補充規(guī)定(四)》中,又新增加了“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”,以及“非法控制計算機信息系統(tǒng)罪和提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪”兩個罪名。
在大型游戲廠商的推動下,游戲行業(yè)的自律和政府部門的監(jiān)管強化基本上同步進行。2013年最典型的例子就是《移動互聯(lián)網(wǎng)黑白名單規(guī)范》的通信行業(yè)規(guī)范的浮出水面。
作為安全聯(lián)盟的牽頭人,中國移動游戲基地之前就組建了“泛游戲”聯(lián)盟,倡導(dǎo)“綠色游戲、和諧生活”,安全問題是其中很重要的一個課題。作為互聯(lián)網(wǎng)業(yè)務(wù)的經(jīng)典應(yīng)用,移動游戲業(yè)務(wù)和傳統(tǒng)的電信業(yè)務(wù)不太一樣,很多環(huán)節(jié)并不掌握在運營商手里,平臺、發(fā)布渠道、終端、安全廠家等都是獨立的實體,對于所有這些環(huán)節(jié)來說,傳統(tǒng)的安全策略都已經(jīng)無法應(yīng)對開放性的游戲安全問題了,這些因素最終促成了安全聯(lián)盟的產(chǎn)生。
安全聯(lián)盟首先對游戲扣費行為做出了統(tǒng)一的規(guī)范,其次意在全面消除偽裝成游戲應(yīng)用的病毒對用戶端的侵蝕,最后融合了此前一直相對獨立的CP、渠道、平臺、運營商各自的安全工作,實現(xiàn)對整個生態(tài)鏈的無縫覆蓋。
另一方面,白名單本身的要求非常嚴(yán)格,需要經(jīng)過多輪嚴(yán)格審定,且一旦出現(xiàn)了一次安全問題,就會被從名單中剔除出去,從而保障了名單的絕對可信。白名單能夠保障正常安全的游戲包在發(fā)行過程中暢通無阻,對于競爭激烈的游戲行業(yè)也有一定的指向作用。
比如說,之前很多游戲都有獲取用戶信息的權(quán)限要求,實際上只是作為身份識別和軟件自身認(rèn)證用的,如通過獲取手機的通話狀態(tài)在來電的時候?qū)崿F(xiàn)暫停恢復(fù),但是可能會造成用戶的困惑。白名單可以把這些行為進行規(guī)范,把正常保障用戶體驗的行為與真正的惡意行為進行區(qū)分,對游戲開發(fā)者來說無疑是一大利好。
政府的監(jiān)管有助于建立統(tǒng)一的行業(yè)安全標(biāo)準(zhǔn),能有效保障廣大用戶利益,配合游戲行業(yè)自身充分的自律和自我防護進行,才能有效覆蓋到所有方面。運營商、CP、渠道以及安全廠商等游戲行業(yè)的所有環(huán)節(jié),都可以在安全聯(lián)盟的框架下進行技術(shù)交流、信息共享、樣本交換、白名單發(fā)布等多種方式的合作,共同為提升游戲行業(yè)的安全保障作出貢獻(xiàn)。
結(jié)語:要應(yīng)對層出不窮的游戲安全問題,需要整個行業(yè)乃至整個社會的通力合作,在游戲行業(yè)逐漸形成統(tǒng)一戰(zhàn)線的同時,違法和黑色的產(chǎn)業(yè)鏈也在不斷變化和發(fā)展之中,這將會是一場沒有終結(jié)的對抗。