Автоматические закупочные боты, также известные как «кроссовки-боты», «клик-боты», «Instacart-боты» и другие названия, разрушают возможности онлайн-шоппинга и гиг-экономики как для потребителей, так и для рабочих. Эти боты могут нанести значительный ущерб репутации и чистой прибыли мобильного бизнеса.
Как указывает их тезка, эти боты изначально были разработаны для автоматизации покупки кроссовок, позволяя коллекционерам и собирателям (которые будут перепродавать их с 10-кратной и более наценкой) покупать массовые партии последних выпусков и вытеснять обычных клиентов. В результате, например, когда Nike выпускает новую обувь, для людей может быть почти невозможно победить ботов и купить себе пару в Интернете.
Но теперь эти автоматизированные транзакционные боты используются не только для производства кроссовок. Авиакомпании, сайты электронной коммерции и мероприятий, и даже компании, занимающиеся организацией поездок, страдают от ботов, которые собирают информацию и накапливают продукты, нанося ущерб бренду целевой компании и затрудняя потребителям покупку товаров и услуг.
Этих ботов легко достать. И Apple App Store, и Google Play предоставляют их для загрузки вместе со многими другими веб-сайтами. Например, боты Instacart — это сторонние приложения, которые работают вместе с законным приложением Instacart и сразу же запрашивают лучшие заказы по мере их размещения в приложении, что делает практически невозможным для покупателей-людей получить доступ к наиболее прибыльным заказам.
Проблема нарастает. По данным Imperva, плохие боты составили почти четверть общего трафика веб-сайтов в 2019 году. Хотя ноутбуки, безусловно, могут запускать ботов, приложения — это то, что нужно. Pew Research Center сообщает, что 74 процента домохозяйств имеют компьютеры, а 84 процента — смартфоны. Но когда дело доходит до использования, мобильный телефон доминирует. Более половины мирового интернет-трафика в прошлом году приходилось на мобильные устройства, а американские потребители тратили примерно на 40 процентов больше времени на свои смартфоны, чем на настольные и портативные компьютеры.
Содержание статьи
Общие меры безопасности в приложениях
Унция профилактики стоит фунта лечения. Интернет-магазины могут и должны принять ряд мер для защиты своих мобильных приложений от приложений-кроссовок.
Во-первых, они могут защитить свои приложения, чтобы разработчики автоматических транзакций или ботов с автоматическим кликером не могли установить вредоносное приложение на то же устройство, что и хорошее приложение. Они также могут предотвратить обратную разработку хорошего приложения — процесс, который позволяет разработчику бота понять, как и куда вставить бота.
Стандартные методы безопасности, такие как экранирование приложений, усиление защиты приложений, предотвращение эмуляторов и симуляторов, предотвращение отладки, предотвращение наложений, обфускации и целевого шифрования, могут помешать разработке или использованию кроссовок-ботов, нацеленных на конкретное приложение. Аналогичным образом, предотвращение запуска мобильного приложения на телефонах с рутированным или взломанным доступом также может замедлить или помешать ботам-кроссовкам выполнять свои заранее разработанные цели.
Цель добавления общих средств защиты в хорошее мобильное приложение — заблокировать общие пути, по которым должны работать приложения-кроссовки и приложения с автоматическим щелчком. Другие общие методы, такие как обфускация и экранирование приложений, набор процессов, используемых для блокировки взлома, запуск программ от имени хорошего приложения, крайне затрудняют разработчикам кроссовок-ботов, когда и как нажимать и выполнять действия от имени приложения
Эти методы могут быть добавлены в следующую версию мобильного приложения, чтобы предотвратить создание и прекращение использования кроссовок-ботов.
Целевые меры безопасности в приложениях
Здесь вы можете подумать: «Да, но что, если я уже выпустил свое приложение без этих средств защиты?» Другими словами, что, если хакеры уже понимают процесс заказа внутри приложения и создали бот-кроссовок или автокликер, чтобы воспользоваться этим? Кроме того, чтобы усложнить задачу: «Что делать, если я не собираюсь изменять способ работы своего приложения?»
В общем, если есть бот-кроссовер, бот Instacart или подобное приложение, используемое для автоматического создания действия против вашего приложения или «внутри» вашего приложения с того же устройства, это довольно хорошее предположение, что хорошее мобильное приложение не имело защиты, необходимой, чтобы заблокировать создание бота в первую очередь.
Добавление новых методов, таких как обфускация и экранирование приложений, методов, предназначенных для блокировки статического и динамического анализа в новом приложении, не поможет существующему приложению (т. Е. Приложению на устройствах в руках ваших пользователей) заблокировать существующего бота . Бот уже существует, и приложение существует, и бот создан для работы с опубликованным в настоящее время приложением.
Единственное, что вы можете сделать для защиты существующего приложения от существующего бота, работающего на том же устройстве — при условии, что в существующем приложении не будет других изменений, — это обновить серверную часть приложения, используя такие методы, как скорость ограничение покупок. Однако это имеет ограниченную полезность, если, скажем, ваше приложение является приложением для доставки по запросу. Как можно гарантировать, что настоящие покупатели не просто покупают и не нажимают больше? Вы не хотите блокировать законные действия по покупке в своем приложении.
Итак, что вы можете сделать?
Обфускация сама по себе малопригодна, так как разработчик хорошего приложения не собирается менять принцип работы приложения, а разработчик кроссового бота уже понимает, как работает приложение, и создал вредоносного бота, чтобы воспользоваться им.
Тем не менее, в зависимости от надежности решения, такие методы, как защита и усиление защиты приложений, джейлбрейк и предотвращение корневого доступа, защита от взлома и другие методы, могут обеспечить эффективную защиту существующего приложения внутри существующего приложения для существующего бота. Итак, следуйте приведенному выше совету и как можно быстрее выпустите новое приложение.
Дополнительные передовые методы
Можете ли вы пойти дальше? Конечно, можете.
Главное — понять методы, используемые в боте, то есть понять, что вы «блокируете», а от чего «защищаете» внутри своего приложения.
Например, бот может получить или потребовать root-доступ на устройстве для работы. Или может потребоваться наложение, зеркалирование, кейлоггер или другой метод. Это может быть связано с инъекцией памяти, вредоносной программой, работающей в фоновом режиме, или ее необходимо установить из неизвестных источников.
Есть буквально сотни методов, которые используют хорошо разработанные кроссовки-боты для достижения своих целей. Не полагайтесь на сканирование идентификаторов пакетов, чтобы заблокировать этих ботов. Идентификаторы пакетов можно легко изменить, и некоторые боты-кроссовки и практически все виды вредоносных программ автоматически меняют идентификаторы пакетов. Кроме того, сканирование идентификаторов пакетов похоже на удары молота: слишком много усилий для слишком малого воздействия.
Лучшая практика здесь — противостоять угрозе, сосредоточив внимание на методах, используемых бот-ботом для проникновения в процессы вашего приложения. Возможно, вам потребуется привлечь свою или внешнюю группу исследователей безопасности, чтобы понять, какой именно бот-кроссовок преследует ваш бизнес, но это выполнимо.
Обратите внимание, некоторые из этих кроссовок-ботов защищают себя теми же методами. Тем не менее, вполне возможно заблокировать ботами-кроссовками от разрушения вашего бизнеса без сложных систем и внутренних обновлений. Не сомневайтесь — ответ может быть в вашем приложении.