中文站

网易易盾出席VSRC安全沙龙,分享隐私政策趋紧如何重塑风控大门建设

1月17日,由唯品会安全应急响应中心主办的信息安全沙龙在广州顺利落幕。本届大会以“洞见未来,智助安全”为主题,深入探讨行业内的安全热点话题,共同推动信息安全行业生态发展。会上,来自唯品会、虎牙直播、雾帜智能、大疆创新等公司的安全专家上台分享了网络信息安全实践。

当天,网易易盾资深移动安全工程师ZicMagic(花名)应邀介绍了iOS设备指纹方案的演变历程,特别是iOS14下设备指纹的困境挑战及全新一代解决方案。同时,分享了设备指纹在风控场景下的应用和跨应用设备指纹带来的意义。


“如果执行文件在客户的手上缺乏保护措施,攻击者永远可以通过臆想的方式去反向一些漏洞。”ZicMagic指出,针对不同业务的风控本质上是从多个维度抓取和堆积参数,形成攻击者档案,让用户行为有迹可循。

01 从第一代到第四代,iOS设备指纹的演变史

黑灰产在进行网络攻击、薅羊毛、开外挂等线上犯罪的同时,留下了数字线索,这一线索即设备指纹。与人的指纹相似,设备指纹即一连串千变万化串符号或数字,是移动设备唯一标志。

虽然设备指纹只是一个工具,但稳定的设备指纹对后续的风控环节至关重要,常被用于反作弊和反外挂的解决方案中,对采集到的设备参数进行串联、二次利用和创新,形成黑灰产作案设备档案。


2012年前后,第一代设备指纹依靠来自系统的UDID、IDFA、IDFV,只是简单参数的集合,虽然可以保证稳定性,但无法保证准确性。

2013年5月,苹果官方禁用了UDID的获取,对IDFA设置访问限制。受此影响,开源式的第二代设备指纹成为替代方案出现。

在安全对抗趋于激烈背景下,设备指纹进化至第三代,其内涵也不断丰富,融合组成了多维度的信息库,涵盖设备信息、协议栈数据、持久化存储、服务端模式等。

眼下,设备指纹进入第四代,即人工智能时代,第四代设备指纹通过机器学习算法识别被篡改的参数,或找到高相似度的虚拟设备。相比初期版本,准确度、稳定性都得到了提升。

“简而言之,这些操作就像造风控大门,把黑灰产挡在门外,让APP更加安全。”ZicMagic总结道,“设备指纹的高度决定了风控大门的高度,就像塔吊决定大楼的高度一样。”

02 隐私政策限制,设备指纹必须告别参数依赖

在Apple,我们坚信并尊重基本隐私权,并认为这些基本权利不应因你生活的国家和地区而有所不同。这正是我们将任何与已识别或可识别的个人相关的数据或已与 Apple 或可与之关联的数据视为“个人数据”(无论相关个人所居何处) 的原因。这意味着可通过其直接识别你身份的数据 (如你的姓名) 即为个人数据,同时,不能通过其直接识别你的身份但可通过合理推断间接识别你的身份的数据(如你的设备的序列号) 也是个人数据。

12月 15 日,苹果正式推送了 iOS 14.3 系统。伴随着新系统的到来,苹果最新的隐私政策随即上线。APP开发者必须主动回报在应用中对于用户隐私的收集情况,寻求用户授权。在用户未授权的情况下,任何一款APP都不能获取用户的隐私。

数据显示,截止2020年12月中旬,iOS14在近四年发布的iPhone中覆盖率达81%。全系iPhone中覆盖率达72%。

ZicMagic指出,大量iOS用户在全新的隐私协议框架下,一旦用户禁止授权获取设备信息,第三代设备指纹技术能够获取的参数越来越少,成了无源之水,立即陷入困境。

03“大数据+算法”跨应用分析不够精准

以“大数据+算法”为底层逻辑的第四代设备指纹技术应运而生,放弃了对用户设备参数获取和分析,实现了跨应用分析。其面临的最大挑战是不够精准。

“我个人非常不推崇这种方式,”ZicMagic指出,机器学习算法无法保证召回的设备指纹是100%准确的。在基础数据有瑕疵的底子上,进行大量APP数据堆叠,这个错误判断就会被无限放大,严重影响客户业务。


基于一定前提下的测试数据显示,APP从10款增加至100款,跨应用设备指纹分析的准确率明显下降,从59.9%下降至0.59%。面对专业黑灰产时,这种方式对设备指纹的追溯效果几乎归零。

04 危中有机,设备指纹开启新纪元

ZicMagic在演讲中表示,个人隐私保护是大势所趋。“未来,安全厂商能够获取到数据会越来越少,以IDFA为主导的设备指纹追溯技术也将进入消失倒计时。这其实也是给了我们一个机会,逼着我们去开发一套新的方案,跟着变化去突破一下自己。”

在课题中,ZicMagic详细介绍了网易易盾全新一代的设备指纹技术,化繁为简,通过独创的无实意随机化特征数据技术,无需经手用户隐私数据,对设备进行精准定位。

○ 完全不依赖IDFA、IDFV等系统参数

○ 抛弃mac地址、IP、手机设备信息等个人数据

○ 抛弃机器学习和大数据分析

在放弃了原有方案内的大量做法之后,易盾在新参数的领域上有了重大的突破。

“通过新参数的引入,我们减轻了对云端算法的依赖,不再需要通过大数据分析和机器学习的能力进行跨应用的设备指纹找回。”ZicMagic指出,服务端能力有针对性地投入到解决工作室、模拟点击、黑灰产设备等特殊业务风险点中。


总体而言,设备指纹技术突破使得整体风控能力进一步提升。全新一代的设备指纹技术能够应对市面上所有改进工具,由于攻击者很难摸透所有的参数数据,从而无法进一步破解。

当前,该项技术已应用于易盾反外挂、反作弊产品线中,既可跟随解决方案复合部署,也支持外部开发团队独立接入。

基于多年的APP安全风控经验,易盾的设备指纹从多个方向和维度进行采集,形成攻击者唯一档案。简单传统的检测包括IP、手机号监控,而更深层次的风控手段则是对设备内存、非法插件、用户外挂等更多维度信息进行收集。依托于跨应用设备指纹库,结合实际业务场景与风控能力,易盾致力于满足不同场景的业务风控需求。