freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

大年初一,红包外挂装好了吗?
2019-02-05 09:00:28

就在前几天,我们公司开年会抽奖发红包,在这美妙的时刻我打开手机,怀着激动的心情准备抢几个大红包。结果...拼尽全力只抢到了3.33......

看着身边Magiccc一下抢到68,萝卜兔一下抢了200变身手气王,妮美也有个五六十。我内心愤恨啊,他们说像我手气这么差应该赶紧找个“红包外挂”加持。可是,这玩意真的有用吗?

红包外挂.gif

红包外挂了解一下

首先我去微博搜了一下“红包外挂”,看到了网友推荐的“物理外挂”......

红包外挂.gif

我怎么觉着这咋看咋不靠谱呢(手速比我还慢),就我们那个群两秒钟68个红包都没了,靠这个火腿肠我是没什么出路的。

于是我决定再找找,果然皇天不负有心人。我找到了很多传闻已久的“红包外挂”。搜索“红包外挂”,热度奇高,可以说是遍地开花了......

1. 市场广阔

相关APP一搜一大堆。

红包外挂

万能的某宝也有一些,近年来平台对于虚拟产品管理严格之后,泛滥情况有所改善。

红包外挂

各种论坛讨论群吧,也是应有尽有。需求有多大,市场就有多大。黑产也盯上其中的牟利空间,各个渠道都在制作所谓的“红包辅助工具”、“红包神器”。

红包外挂

2. 外挂原理

这个外挂到底靠谱吗?我们先了解一下这个背后到底是怎么操作的。

首先Android的自动抢红包外挂,目前主要有两种:

第一种是图色模拟。简单理解就是通过颜色的对比来确认是否有红包,在对比过程中确认红包位置,再通过模拟点击的方式抢红包。这种方式最大的缺点就是只能看到当前聊天窗口内的红包,无法查看其它聊天页面中,并且对于是否已经领取过难以确认。

第二种是通过读取安卓系统的信息,实时监听是否有收到红包(红包外挂一般都需要在手机设置辅助中开启允许)。通过查看消息知道有收到红包发出后,模拟安卓系统内部消息进行快速点击操作抢红包。

红包外挂

外挂抢红包过程

整个过程最为关键的两步:

监听微信消息

模拟点击

也就是说两者都是通过接口来检测红包,然后模拟人工点击的方式来快速帮助用户抢红包。而在IOS系统中,大部分使用红包外挂的前提条件是需要越狱,后面的操作原理基本一致。

自主监测红包+自动模拟操作,听起来倒是挺省心,但是抢到不代表能最大啊。按照我以往的经验,即便我抢到也是几毛钱那种。如果能直接控制金额来抢那就是再好不过了......

红包外挂.gif

控制金额?

于是我又开始找,倒是发现了几个有意思的。

比如自动抢红包加回复。

红包外挂

比如,没进群的也能抢红包。

红包外挂

诶,这不是我想要的“控制金额抢红包”吗?

红包外挂

按理来说,如果想要控制抢到的金额需要提前知道红包的具体金额,那就需要得到微信的接口和一系列权限,这真的能够实现吗?

首先来看看微信红包背后的随机算法(目前微信并没有公开,主要来自于大牛们对其原理逻辑的推算)。

在金额方面,额度在0.01和(剩余平均值*2)之间。 比如:发100块钱,总共10个红包,那么平均值是10块钱一个,那么发出来的红包的额度在0.01元~20元之间波动。

如果说前面4个红包被领走50元,剩下50元,一共6个红包,那么此时这6个红包的额度在0.01~(50/6*2)=16.66之间。(控制在两倍间,目的为避免出现发200元11个,第一人拿199.9元,然后剩余10人,每人拿1分的情况)

这里的算法是每被抢一个后,剩下的会再次执行上面的这样的算法。 这样算下去,会超过最开始的全部金额,因此到了最后面如果不够这么算,那么会采取如下算法:保证剩余用户能拿到最低1分钱即可。 

红包外挂

图片来自CSDN

而知乎网友也对“100元分给十个人”,模拟了一下第一个抽取的人,第五个抽取的人,以及最后一个抽取的人(第十人)的红包大小的分布,最终给出抽取红包的期望值大小以及标准差大小的表格

红包外挂

图片来自知乎网友Mr.L

也就是说,因为随机算法计算出不同红包的额度。微信的红包金额是服务器实时生成的随机数,和具体谁抢、谁先抢、谁后抢都没关系,没有既定的规律。在微信的安全机制下,总的来说概率是一样的。到目前为止,市面上还没有发现任何一款软件,可以做到控制抢红包的大小金额。

如果硬要“控制”,也只能在外挂中设置对当前用户抢的金额百分比做出运算,然后决定抢与不抢,但是商家所宣传的各种“控制/修改金额”是不可能实现的。

风险与安全意识

也就是说,这个红包外挂可能会让你抢到红包,但是抢到大、小就不能保证了。我想,或许我可以安装试试?

但是当我下载准备安装的时候,却突然有些害怕了。

红包外挂

“手机您键入的所有文字信息(密码除外),其中包括信用卡号等个人数据。还会手机关于您与手机互动情况的数据。”

每天看到各种信息泄露、黑产诈骗新闻的我,看到这一句,感觉事情或许并不简单。使用这个软件除了找黑产购买的钱之外,我们是不是还付出了没有看到的代价?

1. 隐私泄露

安卓手机使用这些软件至少需要授权辅助功能权限,自动抢红包的背后是实时监控我们的微信消息和手机使用信息。而IOS不仅需要授权信息,还需要先越狱。这些软件以帮抢红包的名义获取地理位置、银行卡账户、手机联系人等隐私信息,或者直接上传到外部服务器。

背后的隐私风险有多大,我们能够控制吗?

2. 恶意广告与病毒

这些来路不明的外挂软件还有一点很可怕,就是没有官方应用商店的审核。一些甚至直接嵌入广告推送代码、弹出恶意广告、后台静默下载推广应用、偷偷耗费用户流量与话费。

更为过分的,直接嵌入恶意代码,带了更多病毒等未知风险。

3. 电信诈骗

不少黑产直接打着卖外挂的幌子进行诈骗。

而这些风险并非我在此臆测,背后黑产组织的产业链早已成熟,相关刑事犯罪事件也并不少见。

面对这种状况,企业各方也并没有坐以待毙。

目前在法律层面,具有抢红包功能的外挂软件,其行为触犯《刑法》第二百八十五条第三款,涉嫌提供侵入、非法控制计算机信息系统程序、工具罪之规定。2017年6月,江苏破获全国最大“开挂抢红包”案 涉案金额4000多万元。

而微信官方也同样多次采取行动,2018年6月15日微信针对外挂、分身应用进行大规模封号整顿。

当然,未来仍旧需要我们继续努力:

平台方对于异常账户进行检测,对于相关违规行为加强管理;建立完善的举报惩戒通道;对于相关衍生红包赌博群予以打击。

作为个人最重要的是建立安全意识,不要下载来路不明的相关外挂软件,不要点击风险位置的红包分享链接。毕竟抢红包也是图个开心,安全第一,切勿因小失大。

参考来源:

1.《微信红包算法》——CSDN

https://blog.csdn.net/villainy13579/article/details/51024630

2.《开发类似“微信抢红包外挂”需要哪些知识和工具?》——知乎

https://www.zhihu.com/question/28295097/answer/86322630

3.《微信红包的随机算法是怎样实现的?》——知乎

https://www.zhihu.com/question/22625187/answer/85431684

4.《各位技术帝,有人说微信红包的外挂是真的可以控制金额么?》——知乎

https://www.zhihu.com/question/49179462

5.《微信红包里的骗局(1)》——简书

https://www.jianshu.com/p/a2ea6c0a0906

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

# 外挂
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者