入口还是危机?微信小程序已存在的的撞库风险

2017-01-09 17:52:34 +08:00
 ryannnnn

刚上线第一天就出漏洞,不敢想之后是什么情况。

(不会插图,当我发广告吧 http://www.4hou.com/technology/2936.html )

1 月 9 日微信小程序正式上线,铺天盖地的各类评测、使用、分析甚至是授课培训之类的文章风一般席卷你所能看见的几乎所有媒体、社交平台。

小程序在出生前就被一片看好——“可以替代极大占用内存的 APP ”、“低廉的开发成本与低消耗的时间成本”等声音早已充斥整个互联网。在这种全方位‘利好’的形势下,很多大公司小公司都不愿放弃这样一个免费入口的机会,想必小程序还将在将来几个月持续红火。

微信小程序的优势:它存在的你知道的和你看见的

微信小程序工作在微信整体的框架中呈现,相比一些分发平台和 APP 、传统网站有以下几个优势:

  1. 只能通过扫描二维码、微信提供的搜索和在会话、微信群中的推荐来获取小程序,去中心化避免了分发、流量、竞价、排名;
  2. 所有的小程序都存放在微信自己的框架内,某个小程序一旦被添加就会下载暂存在用户手机上,能够快速装载打开;微信的整体框架让小程序使用的体验非常流畅,一切以简洁、快捷、便捷为主;
  3. 小程序的开发技术相比 APP 的开发简单许多,能为企业节省下大量时间成本与人力成本,特别是对于初创公司来说,在品牌宣传与市场营销上可以节省下一大笔开支;
  4. 在被分发机制惯坏的受众体系下,如此麻烦的寻找方式也是另一种形式的“定位精准用户”。没有粉丝数、没有打开率、没有 KPI ,让一切体验更纯粹;
  5. 特定的开发语言(需要特别为小程序而学习)、严格的审核、私有的发布渠道(没有分发途径),几乎是形成了一个封闭的展示环境;
  6. 从目前得到的消息而言,小程序无法群发消息、无法分享到朋友圈,小程序之间亦无法关联,而且对营销号、广告位的行为严令禁止。未来如何发展也就是说如何盈利,拭目以待。 小程序也有风险?你不知道不代表风险不存在

风险都是我们很讨厌的东西,他总是在最不恰当的时候到来,比如正要下班回家被一通电话叫回单位,或是刚刚发布了个新版本准备出去散个心,火车上接到电话要处理问题。风险就像撕不开甩不走的狗皮膏药,让人不论做什么事情的时候心里总是悬着,总感觉做点什么大事业为什么就那么难。

其实我在做了这么多年的业务风控后,有一个非常直接的感受,尽管处理风险的人总是苦口婆心的讲:任何业务的变动都等同的伴随着机遇和风险,做任何业务改动一定要谨慎,多跟安全来讨论,但业务角度来讲往往眼睛只看着机遇,而选择性忽略风险。

小程序的上线就可以看作是一个业务上的变动,有了一个新的入口,所有人都在高喊小程序要改变行业格局的时候,笔者默默的打开了几个小程序检查一下,结果不出所料发现了几例非常常见的撞库风险:

在今天上线的众多小程序登录页面中我们都需要面对一个选项——是否同意小程序“获得你的公开信息(昵称、头像等)”、是否同意小程序“获取你的地理位置”。如果不同意,部分小程序就无法进行体验或使用了。

而在选择同意并进入页面之后,一些存在注册、登录、绑定操作的小程序,是否能够保证我们帐号的安全?是否会让有心人士有利可图?

什么是撞库?

撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在 A 网站的账户从而尝试登录 B 网址,这就可以理解为撞库攻击。

有一定技术了解的人应该比较清楚,首先这个某家公司的小程序登录接口用了 http ,导致我们可以简单的通过代理抓包提取这个登录接口的请求内容,然后构造不同的手机号码和密码组合就可以尝试撞库了,发现类似问题的公司到对应的手机 APP 和官网上看,其实都已经做了比较完善的风控措施,但因为一个新登录入口的引入而又没有考虑周详,原本坚固的风控体系一下子就变的形同虚设了。

如果你的产品已经不再迭代了、不出新功能了、外部大环境也基本不动了,那么出现风险的概率是很低的。风险这个东西特别喜欢人们仓促匆忙的做一些事情,互联网时代需求瞬息万变,用户忠诚度低,一个趋势跟不上就有被淘汰的危险, BAT 都不敢松懈,小体量的公司更是举着业务优先的大旗一路高歌猛进,安全往往只是停留在一个概念上,甚至连概念都没有,等业务量上来了再说呗。

但国内的互联网业务现状我只能用一个字:乱 来形容,原因也很简单,我们的产品打磨周期实在是太短了,留给产品研发上线的时间是按天来计的,造成的结果就是往往面上的工作做好了,该有的概念都有,结果引擎盖下面各种乱七八糟的拼凑,看着外观挺炫,能不能用稳不稳定真要打个大大的问号。

这种乱给了黑灰产生存的必要条件,不断的侵蚀企业的利润空间,甚至有能力把一些抵抗能力比较低的企业扼杀在早期,比如那些个使用条件多到令人发指的优惠卷,普通消费者永远是理不清楚的,但黄牛却能把各种折扣优惠理个门清,直接告诉消费者我比官网便宜多少,到最后消费者拿到了实惠,企业缺只留下了一堆黄牛帐号,当无力继续烧钱的时候草草关张。

互联网的草莽时代早已经过去了,笔者曾经做过这样的预测,接下来的市场拼的是精细化运营能力和风险抵御能力,谁更能从地板缝里扣钱出来,就能活的更久更长,而黑灰产链条的形成,意味着任何粗暴的生长模式都会被他们啃干净,什么都留不下。

无论对于互联网企业、用户还是黑灰产业链条上的人,微信小程序无疑都是一个崭新的、巨大的入口,也是每个使用者需要去面对、去规避可能存在的风险。

4796 次点击
所在节点    微信
35 条回复
x86
2017-01-09 18:57:11 +08:00
一本正经的胡说八道
onionnews
2017-01-09 19:06:06 +08:00
QQ 和微博授权登录都多少年了
kmyzzy
2017-01-09 19:09:15 +08:00
都散了吧,我估计这篇文章是机器自动生成的。
piaoliu
2017-01-09 19:32:52 +08:00
我来吐槽下为毛整段话只有一个句号。。 语文老师哭瞎了
skydiver
2017-01-09 20:03:13 +08:00
只能说 lz 的语文水平不太好,说了这么多没说明白意思。

楼上 @cxh116 解释的就很清楚了,如果一个小程序在你授权登录之后,让你注册,很多人就输入和微信同样的手机号和密码了,这样第三方就可以拿这个数据去撞微信登录。

不过我觉得微信应该会处理这种小程序吧,不会允许小程序再让用户注册。
skydiver
2017-01-09 20:03:54 +08:00
全文中只有这么一句话是有用的

> 而在选择同意并进入页面之后,一些存在注册、登录、绑定操作的小程序,是否能够保证我们帐号的安全?是否会让有心人士有利可图?
falcon05
2017-01-09 20:37:15 +08:00
这标题,我还以为楼主黑掉了微信小程序
Jaylee
2017-01-09 20:39:14 +08:00
@skydiver oauth 拿不到是微信号的。
Jaylee
2017-01-09 20:40:09 +08:00
典型的读书不多而想的太多
killsting
2017-01-09 20:42:19 +08:00
说的什么鬼,胡说八道。
simonlei
2017-01-09 22:19:53 +08:00
典型的读书不多而想的太多
jamessdo
2017-01-09 22:53:42 +08:00
要真拿微信的手机号和密码来注册,那登陆微信也要手机收验证码。。(好久没重新登陆了,应该没记错:)
hebeiround
2017-01-10 07:16:25 +08:00
不需要单独注册的小程序应该是 oauth 。
需要的单独注册的小程序,即使没有小程序,也可以来撞库。
firefox12
2017-01-10 10:01:54 +08:00
@cxh116 早说过了 不是产品经理没脑子,是他们清楚 大公司是个什么德性。如果不继续注册一次,很可能那一天一封,你除了一堆垃圾 id 就什么都没有了。如果你认为世界上这些人都很蠢,那建议你自己检查一下自己。因为人的智商都是差不多的。
harrysun
2017-01-13 10:59:10 +08:00
其实就是个 web 还浪费 流量

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/333380

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX