app上传日志有危险吗

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了app上传日志有危险吗相关的知识,希望对你有一定的参考价值。

不会有危险,但是会泄露你的个人信息。

作为一个开发人员,必须具备安全意识,掌握基础的安全知识,为打造更加安全的应用做出努力。本文浅谈android客户端的安全问题。

涉及组件、WebView、存储、传输、日志、混淆、应用加固等安全漏洞及防护策略,运用更加合理的配置与防护措施来提高应用的安全级别。

这里提到的组件访问权限主要是指跨应用的进程间通信(IPC,Inter-Process Communication),开发者可以限定应用内的组件是否允许被其他应用调起。

或接收来自外部应用的数据,或者访问我们的数据。并且必须对来自外部应用的数据做校验处理,避免来自外部攻击。如恶意调用组件、广播数据攻击、恶意访问数据等等。


手机软件,主要指安装在智能手机上的软件,完善原始系统的不足与个性化。使手机完善其功能,为用户提供更丰富的使用体验的主要手段。

手机软件的运行需要有相应的手机系统,截至2017年6月1日,主要的手机系统:苹果公司的ios、谷歌公司的Android(安卓)系统、塞班平台和微软平台。

2019年11月4日,工业和信息化部信息通信管理局组织召开APP侵害用户权益行为专项整治工作启动部署会。

将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍四个方面的8类问题开展规范整治工作。 

参考技术A APP的日志主要是用于记录系统运行信息,相关APP信息,包括bug信息,网络信息,位置信息,时间信息,但不限于通话记录,拍照,短信发送等

飞天助手有危险吗

要合理使用。就不危险了。“飞天助手”其实是之前的指尖精灵的升级版,指尖公司注销后,成立长沙多肉信息技术有限公司,旗下主要产品为升级版的“飞天助手”app以及遁地模拟器等,“飞天助手”是一款手游辅助平台,配合平台提供的脚本编辑器和安卓模拟器,以及LUA语言的简单易学,给具备初级编程水平的手游爱好者提供了一个手游辅助开发平台,同时入住的开发者可以将自己开发的辅助放在平台上向平台会员提供,而飞天平台在一系列转型竞争中脱颖而出,现在的主要盈利模式不是直接像用户收费,而是和各个云手机平台合作,之前最主要的合作伙伴就是红手指,红手指也因为购买起会员可以免费使用稳定的飞天助手,并享受在线升级服务而爆红,可以毫不夸张地说,手游用户购买红手指的绝大多数都是冲着可以免费使用飞天助手去的,难怪玩家都说,飞天没了,红手指要你何用?今天借飞天助手这个事,聊聊外挂涉嫌犯罪的那些事……

第二个问题:手游辅助外挂构成刑事犯罪吗?

外挂的刑事规制问题近年来一直是刑事司法领域的热点和难点问题,实践中也存在判罚不一,标准模糊的问题,早期有以侵犯著作权罪判罚的,也有将其认定为是软件出版物而以非法经营判罚的,近年来主要以计算机犯罪来规制。那么,手游辅助外挂到底构不构成刑事犯罪呢?首先,结合现在流行的外挂辅助脚本开发技术和实现原理看,现在的手游辅助外挂不应当用侵犯著作权罪来规制,因为外挂特别是脱机挂虽然会使用到部分游戏客户端程序的代码和服务器原理,但追求的目的是为了实现脱离原有的游戏客户端、忽略游戏终端画面交互的“繁琐而无用”的过程,直接获得游戏的结果,其本质上是一个新的“二次开发”,而不是对原游戏客户端的复制发行,所以不应该认定为为侵犯著作权罪。

其次,外挂辅助也不应当用非法经营罪规制,非法经营罪的法益是“国家对特种商品的经营许可管制制度,即国家对特定商品经营、特定许可证制度、特定行业准入制度以及其他特定的市场经营方面的正常管理秩序。”不论哪种类型的外挂均不属于国家专营专卖物品,也不应当定性为非法出版物,它的传播使用并不直接影响国家的经济管理秩序,不构成非法经营罪。那么辅助外挂是否构成计算机犯罪呢?具体又构成何种罪名呢?这个问题不能一概而论,要具体分析个案中辅助外挂具体涉及的功能原理、实现过程和技术细节,准确分析判断其行为是否符合计算机犯罪相关罪名的构成,有无侵犯计算机犯罪罪名所保护的法益。

第三个问题:如何从技术原理准确认定一款外挂是否构成犯罪,构成什么犯罪

一、当前主流外挂的分类

当前主流外挂按照其功能实现原理主要分为“操作辅助类”和“数据修改类”。简单的理解,操作辅助类就是按照游戏运行的规律,制作一个独立的辅助程序,模拟玩家游戏时的动作,主要完成一些机械重复的动作,比如日常任务和挂机刷怪等,最简单的就是按键精灵类的辅助,比如玩家挂机杀怪需要点击鼠标左键不断实现砍杀动作,用操作辅助类外挂就可以自动点鼠标左键,其原理上和玩家拿块石头压着鼠标左键没有任何区别。其主要特点是不会突破网络游戏设定的规则,不会超出游戏对玩家的限制,帮助玩家跳过大量烦琐和重复的操作,忽略游戏的交互而直接获得游戏结果。相比而言,数据修改类外挂能通过数据抓包等手段直接将客户端发送给服务端的数据进行修改,从而虚构客户端对服务器的反馈,使服务器端错误地识别和记录玩家的操作数据。

二、操作辅助类外挂的刑事规制

1.制作、销售操作辅助类外挂的刑事风险

操作辅助类外挂从其功能原理、实现过程和技术细节分析,既不构成对游戏的复制发行(抄袭)行为,也没有侵入游戏服务器的计算机信息系统,也没有干扰和破坏游戏的正常运行,它仅仅是通过技术手段改变玩家体验和游戏的效率,所以应当秉承罪刑法定原则和刑法的谦抑性原则对于这种具有争议的创新行为给与最大的互联网包容,果断地判定其不构成犯罪。

2.使用操作辅助类外挂的刑事风险

使用操作辅助类外挂其技术原型可以理解为玩家雇佣了一个人帮他打游戏,该行为本身并没有干扰和破坏游戏运营,实质上也没有破坏游戏的公平性。而从技术上分析也没有实现侵入游戏服务器,没有对计算机系统造成破坏,所以同样不构成犯罪。

三、数据修改类外挂的刑事规制

数据修改类外挂通过数据抓包等手段直接将客户端发送给服务端的数据进行修改,从而虚构客户端对服务器的反馈,使服务器端错误地识别和记录玩家的操作数据,从而达到间接的改变游戏玩家角色属性的效果,其本质上是向服务端发送虚假的数据,是一种欺骗服务器的行为。

1.制作、销售数据修改类外挂的刑事风险

司法实践中,对于制作、销售数据修改类外挂,倾向于以提供侵入、非法控制计算机信息系统程序、工具罪规制,但本罪的适用存在很大争议。笔者认为不能一刀切地认为数据修改类外挂就是计算机犯罪。

第一,虽然这种外挂涉及修改数据,外观上给人一种计算机犯罪的外观既视感,实际上,这种数据修改类外挂并不能直接修改服务器端自身的数据,其篡改和伪造数据封包改变的是玩家自己的游戏客户端,并破解和修改客户端与服务器的数据交互过程。其本质上并没有侵入游戏运营商的服务器,也没有非法获取其数据和实施非法控制。

第二,从技术上分析,数据修改类外挂也并不属于《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”。首先,数据修改类外挂不具有避开或突破计算机信息系统安全防护技术措施的功能,也就不构成刑法意义上的“侵入”功能。其次,由于刑法规定非法获取计算机信息系统数据罪和非法控制计算机信息系统罪都是以侵入为前提,所以数据修改类外挂同样不构成这两罪。

第三,从功能和实际效果上看,数据修改类外挂也不具有干扰和破坏计算机信息系统功能的效果,不能认定为非侵入型破坏计算机信息系统犯罪。

所以,笔者认为,制作不侵入游戏服务器,或严重干扰破坏服务器功能和运行的修改数据类外挂不构成计算机犯罪。销售该类外挂的行为也不构成非法经营罪(前文已详述)。

2.使用数据修改类外挂的刑事风险

司法实践中对于单纯使用数据修改类外挂的个人玩家一般不作处理,主要是考虑到人数众多,个人使用范围较小,一般没有盈利。但是在打击制作销售的团伙犯罪中查明的使用行为,特别是针对工作室等大量使用行为时,却倾向于以破坏计算机信息系统罪进行规制,而不是以侵入和非法控制来规制。但从技术细节上分析,使用修改类外挂不构成破坏计算机信息系统罪的:根据刑法286条规定,破坏计算机信息系统罪主要有三种类型。一是违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的行为。二是违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为。三是故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。简单的理解就是破坏功能,破坏数据,传播病毒三种。

首先,数据修改类外挂并没有对计算机信息系统功能进行删除、修改、增加、干扰,其劫持的是数据传输过程中的数据封包,对计算机信息系统功能并无影响,所以并没有破坏功能。其次,数据修改类外挂并没有对游戏程序的主机系统造成影响,而对于传输过程中数据的删除、修改、增加,获得了游戏用户的同意,实际上是用户对自己的数据的操作,不具有刑事可罚性。最后,参照相关司法解释的规定,数据修改类外挂并不符合“计算机病毒等破坏性程序”的要求,它不具有复制、传播的特性。综合以上三点可知,单纯使用修改类外挂的行为不构成破坏计算机信息系统罪。

第四个问题:总结性探讨

本文观点总结:对于操作辅助类外挂,无论是制作、销售还是使用行为,都不构成犯罪;而对于数据修改类外挂,使用的行为不构成犯罪,而制作和销售行为在一般情况下也不构成犯罪。

虽然,目前绝大部分的修改数据类外挂都不具有侵入游戏服务器信息系统的功能,一般也不具备这个能力,但凡事有原则就有例外,比如,在司法实践中,却有一些数据修改类外挂为了在黑灰产的竞争中脱颖而出,会铤而走险,追求更“刺激”的功能效果,比如在外挂程序的功能加强上,不仅拦截修改服务器之外的数据封包,而且还对计算机信息系统也进行破坏和控制,直接修改服务器数据,还有的会专门针对服务器反外挂功能进行攻击,规避各种安全监测机制,杀死游戏运行的关键进程,对游戏服务端的部分安全功能造成干扰,还有的通过破解客户端和服务器之间数据通信协议,向服务端发送超规格请求,获取玩家本无权获取是数据,对于数据修改类外挂这些突破游戏规则和服务器安全策略的行为,笔者认为,可以适用刑法进行规制。

值得关注的潜在技术风险:以上规则和观点也不是一成不变的,由于数据修改类外挂具有很强的自我迭代能力以及扩展能力,它和新技术走得非常近,比如现在VirtualXposed技术的应用,可以无需 Root 直接使用 Xposed 框架的虚拟工具,在类似沙盒的虚拟机中脱离安卓安全控件的束缚,自由运用不同的 Xposed 模块,可以修改不同的 APP 中的内容/特性,也能增加/移除功能等。轻松地实现微信消息防撤回、自动回复消息、随意修改地理位置、修改步数、修改QQ空间/微博等机型小尾巴、抢红包模块、QQ微信斗图助手、精简QQ等等……从技术上讲它虽然不是计算机犯罪行为,但却具有一定的技术危险性,也完全有能力随时超越权限边际,应当引起我们学界的持续关注和研究。
参考技术A 飞天助手有危险吗?答:飞天助手免费辅助自动挂机是一款没有任何的封号危险,而且还支持超多不同网络热门手游免费在线无限挂机。

以上是关于app上传日志有危险吗的主要内容,如果未能解决你的问题,请参考以下文章

C#客户端WinForm怎么自动(不许要用户选择文件)上传日志到Web服务器

Swift 使用NSSetUncaughtExceptionHandler 实现异常捕获及日志上传和app 起死回生

Swift 使用NSSetUncaughtExceptionHandler 实现异常捕获及日志上传和app 起死回生

Swift 使用NSSetUncaughtExceptionHandler 实现异常捕获及日志上传和app 起死回生

微信小程序的日志上传

xutils工具上传日志文件--使用https并且带进度条显示