Mejorar la confianza en los juegos móviles con protecciones para Unity

Los juegos móviles populares sufren ataques constantes de actores que intentan hacer trampas en partidas multijugador, eludir las compras de DLC, eludir las microtransacciones y aquellos que simplemente intentan demostrar que pueden hackear un juego. Hacer trampas reduce la confianza de los jugadores y reduce su número, lo que reduce los ingresos y la inversión en un juego.

Unidad entre las aplicaciones de juegos móviles

Para comprender cómo las decisiones de programación afectan la seguridad, analizamos 58 de las principales aplicaciones de juegos para Android. Si bien los juegos móviles se crean con una amplia gama de lenguajes y frameworks, nuestra investigación confirma la gran presencia de Unity en el panorama actual del desarrollo:

• 27 juegos utilizaron Unity
• 18 juegos utilizaron frameworks propietarios
• 3 juegos usados ​​​​Unreal
• 2 juegos usados ​​Cocos
• 8 juegos utilizaron algún otro marco

Los datos son claros. Proteger los juegos requiere proteger las aplicaciones Unity, a la vez que ofrece la flexibilidad necesaria para admitir una amplia variedad de motores, lenguajes de programación y diseños de frameworks. Las aplicaciones Unity tienen una lógica de juego escrita en C# y compilada en ensamblador nativo. Unity también añade componentes y dependencias comunes en tiempo de ejecución al binario de la aplicación, lo que puede ser un área constante en la que los atacantes pueden centrarse y transferir su conocimiento entre juegos.

Motivaciones detrás del engaño

Los tramposos en los juegos tienen muchas motivaciones diferentes.

En una aplicación bancaria, los actores de amenazas podrían realizar un análisis, sopesando cuánto dinero pueden ganar cometiendo fraude frente al esfuerzo que supone aplicar ingeniería inversa y modificar la aplicación. En cambio, en los videojuegos, los actores de amenazas podrían intentar ganar dinero, pero a menudo no valoran su tiempo de esta manera y podrían estar más motivados por demostrar que pueden hacer trampa, romper el juego, dañar la reputación de la empresa que lo creó o simplemente asegurarse de no perder.

Para proteger un juego se necesitan soluciones exhaustivas y actualizaciones periódicas contra nuevos ataques.

Aumentar la energía y evitar la rutina

Hacer trampa en los juegos móviles puede adoptar diversas formas, según el diseño del juego y el objetivo del tramposo. Analicemos las trampas más comunes antes de ver las soluciones.

• Edición de memoria del lado del cliente
  • Analizar la memoria con herramientas como GameGuardian y encontrar variables críticas: salud del jugador, munición, moneda, ubicación del jugador, velocidad del jugador o cualquier valor específico del juego. Modificar esos valores para beneficiar al jugador.
  • Los diseños de juegos multijugador modernos trasladan muchos de estos elementos al servidor para reducir las trampas, pero los tramposos pueden ser creativos y encontrar valores relacionados para modificar o mensajes de comunicación para manipular.
• Reempaquetando el juego móvil con una nueva lógica
  • Añadir nuevo código al juego para beneficio de los jugadores. Esto podría incluir modificaciones para ver mapas ocultos, resaltar opciones que el jugador no debería conocer o obtener información sobre jugadores rivales que existen en la memoria, pero que no se muestran en la interfaz de usuario.
• botar
  • Se pueden añadir bots al binario del juego para automatizar las decisiones del jugador y obtener ventajas. Los bots pueden adoptar diversas formas: pueden ser modificaciones del propio binario, un emulador que automatiza la pulsación de botones o un script que envía mensajes para simular la jugabilidad, incluso si el juego no se juega como se esperaba.
• Explotando la lógica del juego
  • Esto requiere ingeniería inversa de la lógica del juego en sí y encontrar caminos no deseados que le den ventajas al jugador utilizando conocimiento que no existe en la interfaz del juego o en los recursos en línea.
• Evitar compras
  • Robar monedas, recursos artísticos y contenido descargable del juego disponible para su compra utiliza muchas de las mismas técnicas que otras formas de trampa de esta lista. En muchos casos, este contenido ya existe en los archivos del juego y el software realiza una comprobación de validación de acceso. Estas comprobaciones de validación pueden eliminarse mediante ingeniería inversa y edición del software del juego, lo que permite al usuario realizar acciones que requerirían monedas o contenido al que la cuenta no debería tener acceso.
  • En los casos en que se descarga contenido del servidor para proporcionar acceso, puede ser más difícil eludir la compra, pero los tramposos distribuirán este contenido para que otros usuarios accedan sin pagar. Todos estos ataques requieren modificar archivos del juego, la memoria o los mensajes de red.
• Compartir cuenta
  • Se pueden compartir cuentas para que alguien progrese en un juego sin necesidad de jugarlo. Compartir cuentas puede ser un servicio de pago y poner a los usuarios en riesgo de perder su información o progreso en el juego. Estos problemas pueden ser ajenos al propio binario y requieren servicios de monitorización que rastreen el comportamiento de los usuarios y las amenazas para desactivarlos.

Proteger el juego

Este mes, Digital.ai lanza una nueva forma de proteger los juegos móviles nativos de Android, con compatibilidad específica para el manejo de metadatos exclusivos de los juegos de Unity. Esto se suma a la solución existente para iOS.

Nuestra solución de endurecimiento de aplicaciones Puede proteger automáticamente aplicaciones completamente desarrolladas con una simple función de arrastrar y soltar, línea de comandos o interfaz integrada de CI. Esta solución...

• Proporciona protección automática contra el análisis estático a través de la ofuscación y el cifrado dirigido que conduce a la edición de la memoria y a la explotación de la lógica del juego.
• Verifique el código del juego, los datos y los archivos de activos para protegerse contra reempaquetados y modificaciones del juego.
• Detecta herramientas dinámicas como GameGuardian, Frida, depuradores, raíces/jailbreaks y emuladores que ayudan a los tramposos a realizar ingeniería inversa y modificar el juego.
• Monitoree las amenazas para informar sobre la próxima revisión de las protecciones y rastrear las cuentas con comportamiento malicioso. Se puede responder de inmediato al comportamiento malicioso para obtener una respuesta rápida o bloquear periódicamente las cuentas maliciosas para dificultar el rastreo de cómo se detectaron.
• Protéjase contra técnicas de bots y modificación (a través de nuestra solución de criptografía de caja blanca) que se basan en la lectura o modificación de la comunicación cliente-servidor cifrando la comunicación y evitando que los tramposos encuentren una clave de cifrado para eludir la seguridad.

Cuando se combinan todas estas protecciones, se vuelve increíblemente difícil-Se podría incluso decir que es imposible, o al menos demasiado difícil como para molestarse en hacerlo.-Hacer trampa. La experiencia del usuario y los ingresos comerciales están asegurados para mantener la rentabilidad del juego con una base de usuarios en crecimiento y a largo plazo.

* Digital.ai Sus productos y servicios no están patrocinados ni afiliados a Unity Technologies ni a sus filiales. Unity es una marca comercial o marca registrada de Unity Technologies o sus filiales en EE. UU. y en otros países.