游戏安全资讯精选 2017年第十六期:房卡式棋牌游戏涉赌博风波,抓娃娃火爆市场背后的安全隐患需警惕,Linux内核的Huge Dirty Cow权限提升漏洞

【每周游戏行业DDoS态势】

【游戏行业安全动态】房卡式棋牌游戏涉赌博风波

概要:近日隔壁棋牌游戏公司先后因涉赌被处理的消息,引发业内广泛关注。多名业内人士认为,出现这种事,并不应该由房卡模式来“背锅”,原因还是在于这些棋牌公司本身资质不全,并且为了拉拢人气牟取暴利而违规参与组织抽成。中永律师事务所梅钟律师表示:“如果游戏公司只是提供游戏平台和打牌的技术,不涉及参与组织或反向兑换,那它作为赌博的参与方和组织方的风险是比较小的。”

点评:线上棋牌游戏极易发展成赌博,为了规避风险,几乎大多数棋牌游戏供应商都不提供直接的在线充值,一般是通过转账或者直接代理模式兜售房卡,而且地方棋牌市场也基本趋于饱和、竞争持续激烈,相互之间的攻击也是层出不穷。

律师表示,对于游戏公司应在棋牌游戏中尽什么样的义务,目前法律上还没有明确规定,因此尚不构成棋牌游戏公司因监督不到位而被追究法律责任的情况。“但游戏公司还是应该尽一个合理注意义务,比如对用户的身份应该严格审核;明确提示不得利用游戏进行赌博;或对一些线下的反常交易行为等,应该提起注意。随着相关部门管理力度的加大和实名制的实施,今后对于棋牌游戏公司监督义务的规定肯定也会慢慢出现。”(来源:游戏茶馆)

【游戏行业安全动态】抓娃娃机大火,背后的安全风险几何?

概要:线下抓娃娃竞争在近些年来日益激烈,大有饱和的趋势。公开数据显示,2012年中国抓娃娃机产量为21.11万台,到2016年增长至31.64万台,同比2015年增长了7.97%,五年复合增长率10.65%。最近,线上抓娃娃机开始迎来爆发期。八月份,“天天抓娃娃”登录App Store,作为线上流量变现的一种有效手段,社交大平台自然也注意到了在线抓娃娃的爆发,9月份,YY反应迅速,在新版本中上线了“欢乐抓娃娃”,陆陆续续的,一些小的社交平台也将在线抓娃娃功能嵌到了自己的平台。

与社交、直播行业融合,是未来抓娃娃行业的趋势。一整套的在线娃娃机方案包括了硬件方案和软件方案,硬件方案包括娃娃机侧系统板子的选型,系统板子和娃娃机天车串口的调优,软件方案包括视频直播系统和实时信令控制系统的开发。看似简单的抓娃娃,却涉及到物联网、视频直播、电商等领域,安全风险,也是下一个会被关注到的点。

点评:2017年,线下娃娃机在每年30%的增长率下已经达到了200万台的存量,成为线下游艺机的赢家。2017年也是线下娃娃机的线上价值被发现的一年,其带有博彩性质的玩法,可能成为棋牌行业之后新的攻击爆发点,其结合了物联网技术以及互动音视频技术,对安全的依赖性不言而喻:从DDoS,Web攻击,到薅羊毛等风险问题会相继出现,想抓住风口的游戏行业公司,也许警惕背后的安全风险。

【相关安全事件】Linux内核的Huge Dirty Cow权限提升漏洞

概要:问题出现在get_user_pages函数中。 该函数用于获取用户进程中虚拟地址后面的物理页面。 调用者在使用时必须指定在这些页面上执行的动作,从而内存管理器可以准备相应的页面。而当调用者在私有映射内的页面上执行写入操作时,页面可能需要经历COW(写时复制)循环 ——当新页面可写时会将原始“只读”页面复制到新页面,而原始页面可能是具有“特权”的,由此造成了该漏洞。 

点评:阿里云提供的Ubuntu、CentOS及RHEL 5/6/7发行版本由于未引入漏洞代码,不受此漏洞影响。 可以通过查看(cat) /sys/kernel/mm/下的transparent_hugepage目录enabled文件进行检测,显示[always]则会有影响 。本漏洞安全风险较低,升级内核风险较大,谨慎升级内核;可以关注官方发布的安全补丁。

 

订阅 NEWS FROM THE LAB

专栏获取最新资讯

微博专栏获取最新资讯

一点号获取最新资讯

扫码参与全球安全资讯精选

读者调研反馈 

扫码加入THE LAB读者钉钉群

(需身份验证)

 

时间: 2024-09-10 22:53:08

游戏安全资讯精选 2017年第十六期:房卡式棋牌游戏涉赌博风波,抓娃娃火爆市场背后的安全隐患需警惕,Linux内核的Huge Dirty Cow权限提升漏洞的相关文章

金融安全资讯精选 2017年第十六期:逐条解读现金贷整顿对P2P影响,工信部宣布1亿以上用户信息泄露为特大网络安全事件,太平保险集团信息安全主管的企业安全方法论

[金融安全动态]逐条解读现金贷整顿对P2P影响 概要:12月1日,互联网金融风险专项整治.P2P网贷风险专项整治工作领导小组办公室正式下发<关于规范整顿"现金贷"业务的通知>(下文简称"通知").此通知比较全面的对现金贷业务进行了规范,包括了资格监管,业务监管和借款人适当性监管,并给出了存量逐步退出的安排.通知涉及的业务主体包括现金贷助贷类机构.网络小贷公司.银行类金融机构.P2P网贷类机构等,其中对助贷类机构影响最大,下面网贷之家研究院将进行逐条解读.

游戏安全资讯精选 2017年第十五期:网络安全人才短缺是安全事件的根源,游戏行业为典型;点评最新十大Web安全隐患;MongoDB最新漏洞缓解建议

[最新活动]棋牌游戏用户五大DDoS优惠防护.点击查看原文 点评:游戏行业内,2016年,全球有记录的DDoS峰值已近600G,300G以上的DDoS攻击,在游戏行业内已经毫不稀奇. 为什么游戏会是DDoS攻击的重灾区呢?这里说几点主要的原因. 首先是因为游戏行业的攻击成本低廉,是防护成本的1/N,攻防两端极度不平衡.随着攻击方的打法越来越复杂.攻击点越来越多,基本的静态防护策略无法达到较好的效果,也就加剧了这种不平衡. 其次,游戏行业生命周期短.一款游戏从出生,到消亡,很多都是半年的时间,如果

游戏安全资讯精选 2017年第十九期:WebLogic Server WLS组件漏洞入侵挖矿事件分析,苹果手游代充灰色产业深度揭秘,《绝地求生》99%外挂都来自国内

[游戏行业安全动态]苹果手游代充灰色产业深度揭秘 概要:苹果手游代充最早可以追溯到2012年前后,到现在已经经历了多次发展,从最开始的外币汇率差,退款,36漏洞,再到现在黑卡,盗刷信用卡,甚至出现了专门的库存系统.库存系统保存的就是苹果的消费凭据,充值商家等到有客户时候,可以随时使用,可谓完美绕过苹果风控,使黑卡和盗刷可以大规模实现,让供货和销售分开,降低了行业进入的门槛,更加细分了产业链,放大了黑卡和盗刷的影响.库存系统还能绕过大多数游戏的外币检测,甚至充值游戏里已经下架的面值,比如之前某款游

游戏安全资讯精选 2017年第十四期:游戏盾入门版推出降价63%,《2017年网络安全产业白皮书》发布,微软“11月周二补丁日”补丁一览

[本周游戏行业DDoS攻击态势] 据阿里云DDoS监控中心数据显示,近期DDoS 攻击增加明显,主要攻击目标是游戏和线上推广行业的厂商.请请相关的用户做好DDoS 攻击的防护措施. [行业动态] 信通院发布<2017年网络安全产业白皮书>点击查看原文 我国网络安全产业发展的情况: (一)产业概况: 我国网络安全产业规模高速增长.2016年我国网络安全产业规模约为344.09亿元,较2015年增长21.7%,预计2017年达到457.13亿元.
 (二)区域分布:重点城市加快产业布局,产业集群效

政府安全资讯精选 2017年第十六期 工信部发布关于规范互联网信息服务使用域名的通知;俄罗斯拟建立备用DNS;Google打击安卓应用在未经同意情况下收集个人信息

  [国内政策动态]工信部发布关于规范互联网信息服务使用域名的通知 点击查看原文 概要:<规范互联网信息服务使用域名的通知>要求互联网接入服务提供者按照<网安法>要求落实实名制,并要求域名注册管理.服务机构按照<互联网域名管理办法>和电信主管要求,与"ICP/ICP地址/域名信息备案管理系统"进行对接.互联网接入服务提供者应当定期通过备案系统核查互联网信息服务提供者使用域名的状态,对于域名不存在.域名过期且未提供真实身份信息等情形的,互联网接入服务提

游戏安全资讯精选 2017年第十八期:富控互动拟13.668亿收购棋牌游戏公司百搭网络51%股权,游戏市场的收入超2千亿,阿里云与中国电信云堤达成DDoS防护领域重大合作,阿里云云盾 · 云防火墙技术解读

[游戏行业安全动态]富控互动拟13.668亿收购棋牌游戏公司百搭网络51%股权 概要:富控互动发布公告,拟13.668亿收购百搭网络51%股权.百搭网络成立于2016年10月,是一家专注于开发.运营移动端棋牌游戏的互联网游戏公司.目前,百搭网络在线运营的主要游戏有阿拉宁波麻将.阿拉浙江麻将.阿拉血战麻将.阿拉舟山麻将.阿拉江西麻将.阿拉跑得快.阿拉干瞪眼.阿拉斗牛.阿拉玩三张等棋牌游戏. 百搭网络2016年总营收25.82万元,净利润1.25万元:2017年前三个季度总营收1.25亿元,净利润9

游戏安全资讯精选 2017年第十二期 挖矿软件WaterMiner潜伏在《侠盗猎车手》,Carbon Black预测勒索软件市场增长了2502%,如何用云盾WAF实现虚拟补丁

[本周游戏行业DDoS攻击态势] [游戏行业安全动态] 挖矿软件WaterMiner潜伏在<侠盗猎车手> 点击查看原文 WaterMiner会嵌入到游戏模块中,当用户下载模块,恶意软件就会随之入侵,还可以逃避任何监视工具. WaterMiner的压缩文件会被托管在Yandex.Disk上,Yandex.Disk相当于是俄罗斯的Google.压缩文件提供了所宣称的修改功能,然而,在数十个文件中,它包含一个名为"pawncc.exe"的文件,如下图所示.一旦下载开始执行, &q

游戏安全资讯精选 2017年第十期 英国彩票网遭遇DDoS攻击,中断90分钟 DNSMASQ多高危漏洞公告 阿里云协助警方破获国内最大黑客攻击案,攻击峰值690G

[本周游戏行业DDoS攻击态势] 国庆期间,针对游戏行业的DDoS攻击放缓,攻击者也在放"小长假",10月8日超过500G的攻击可视作攻击猛烈度恢复的表现. [游戏安全动态] 英国彩票网遭遇DDoS攻击,中断90分钟 点击查看原文 点评:10月7日,英国彩票网遭遇DDoS攻击,持续90分钟,造成大量的现金损失.攻击者在访问流量最高的周六瞄准英国最大的彩票网,可以预测是早有预谋.目前,官方还没有确认这起攻击是否与赎金有关,或者可能是经后更大攻击来袭的"前兆",也有可能

游戏安全资讯精选 2017年第十三期 Typecho前台无限制Getshell漏洞预警,勒索软件市场正在呈爆炸式增长

[本周游戏行业DDoS攻击态势] 据阿里云DDoS监控中心数据显示,近期DDoS 攻击增加明显,主要攻击目标是游戏和线上推广行业的厂商.请请相关的用户做好DDoS 攻击的防护措施. [游戏行业安全动态] Recorded Future称美国在漏洞报告方面落后中国:<The Dragon Is Winning:Lags Behind Chinese Vulnerability Reporting> 点击查看原文 概要:美国国家漏洞库(NVD)中国国家漏洞库(CNNVD)的漏洞首次披露时间对比:美