freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

修不完的漏洞,微信跳一跳刷分泛滥成灾?
2018-01-03 12:00:15

元旦假期前,微信小游戏功能上线,一款名为“跳一跳”的小游戏迅速在朋友圈刷屏。无需下载直接在微信小程序就可以玩,玩法简单、容易上瘾,还能与朋友PK。

timg.jpg

游戏和辅助(外挂)就像一对好基友,大多数时间都是同时存在的。

为了争排行榜第一,这款小游戏一夜之间激活了无数民间大神,发现了微信小游戏的漏洞,出现了许多刷分辅助,甚至可以直接伪造POST请求修改分数。微信官方尝试修复漏洞,但很快又有民间高手曝出新招数。

“跳一跳”火了,同时催生某宝代刷链

我们先来见识一下,“跳一跳”这款游戏究竟有多火。

1.jpg

从2017年12月28日下午正式上线之后,“跳一跳”微信指数几乎直线上升超过2亿,恰逢元旦三天假期,热度持续走高。随即全网出现各种“跳一跳”上分攻略以及辅助。

微信截图_20180102164433.png

万能的某宝也出现大批的AI辅助或者代上分,各大搜索引擎也出现各种“跳一跳辅助”等关键词的搜索。一度造成了一下这种“我的排行榜”和“别人家排行榜”的差距。

小游戏功能上线,让微信小程序又火了一把。试想,如果这个游戏不是微信出品,或者不是依托于小程序无需下载就可以玩,又或是没有微信的社交支持,只不过是一个再普通不过的小游戏而已。

利用漏洞,直接修改伪造POST请求刷分

而在“跳一跳”小游戏火了之后,V2EX论坛很快出现一大批AI刷分工具,甚至能够直接通过抓包来获取跳一跳游戏源码,直接伪造POST请求刷分。大致过程如下:

微信截图_20180102173553.png

详细可查看原文:https://www.v2ex.com/t/419056?p=3

微信截图_20180102175703.png

不过很快微信官方元旦当天深夜就修复了这个漏洞,但微信跳一跳源码已经外泄,而且很快新的抓包方式就出现了。在笔者截稿前,也就是2018年1月2日下午,仍然有不少人利用放出的源码成功POST刷分。看来微信小程序在安全性上还没有做到足够完善。

对于技术爱好者来说,刷分其实没多少意义,而真正的是在于过程的探索;对于普通玩家,刷分也仅仅只是满足内心的一点点虚荣,反倒失去了游戏本身的意义。辅助的出现,催生出短暂的游戏是刷分产业,满足了小部分玩家的需求,却严重打击了普通玩家的积极性,继续下去,跳一跳小游戏很快就被毁掉了。

风险犹存,谨慎使用输分辅助

笔者还是想提醒那些寻找辅助或者代刷的玩家,还是别太在意排名,毕竟只是一款游戏,而且使用辅助或者代刷分业务极有可能给你的手机或者账号安全带来风险。

0196765f-b8bd-4291-8035-3c3efeeba84e.jpg

由于目前已出现的辅助工具并不清楚有多少种,安全性存疑,不少需要安卓手机ROOT权限或者iPhone越狱,这本身就会给设备带来不小的风险。参考,之前伪装《绝地求生》官方手游来传播挖矿病毒的案例,不排除已经初现这种含有病毒的“跳一跳”游戏辅助。

微信截图_20180102180405.png

某宝上已经初现不少人工代刷的服务,明确注明需要提供微信账号和密码,稍微有点警惕性的人都应该不至于把微信密码交给陌生人吧?个人微信账号安全不说,还有可能利用你的微信号传播其他诈骗信息,届时受影响的还会有你的朋友亲人。

最后,对于游戏刷分的行为,一般运营方都会极力打击的。除了日常的游戏漏洞修补之外,不排除后期微信官方上线刷分封禁账号等处罚规则,岂不是得不偿失。

因此,游戏本就是供娱乐,使用辅助或者代刷就没意义了。微信官方需要不断加强小游戏的安全性,普通玩家也需要一定的安全保护意识,玩游戏把游戏玩死就尴尬了……

*本文作者:Andy,转载请注明来自FreeBuf.COM

# 微信 # 跳一跳
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者