只是巧合?蘋果iOS16的神秘技術竟然與中國企業5年前產品一致!

頂象技術發表於2022-07-08

最近,蘋果又來“整頓”手機廠商了。

有傳言稱,新版 iOS 16 將加入一個名為「自動驗證」的新功能,可跳過網頁和 App 中的人機驗證流程,升級了 iOS 16 測試版的使用者,可以進入「設定」—「Apple ID」—「密碼與安全性」,在頁面最下方找到這個功能。

什麼意思呢?

以前,當你開啟蘋果的某個 App 時,系統首先要證明你是“人”而不是“機器”,需要識別驗證碼來證明你是你,透過了就證明你是可以被信任的。現在,蘋果為使用者直接略過了驗證碼這一環節,也就是說,蘋果搶先一步透過演算法證明了你是你。

對於這一更新,不少果粉直呼:“真的太人性了”。

無感驗證將是未來新趨勢

那麼,蘋果是如何實現繞過“驗證碼”的呢?

答案就是蘋果運用了一種全新、開放的驗證機制 —— 私密證明令牌 (Private Access Tokens,縮寫為 PAT)。

PAT 並不指代某一種技術或某一種服務,而是一個驗證使用者的協議。它需要 Client、Mediator、Issuer 和 Origin 參與,才能完成整個驗證,如下圖:

這次自動驗證是蘋果與雲服務商Cloudflare合作完成的,實現過程如下(以使用者使用瀏覽器訪問某個網站的場景為例):

整個流程包含四個部分,即瀏覽器(Client)、蘋果手機系統(Mediator)、雲服務商Cloudflare(Issuer),網站(Origin),其中網站後臺需部署在Cloudflare上。

首先,使用者使用瀏覽器訪問網站,因網站後臺部署在Cloudflare上,Cloudflare會要求瀏覽器必須攜帶token。

緊接著,瀏覽器會呼叫蘋果系統服務進行檢測,系統服務會檢測當前裝置的合法性,是否是可信裝置,檢查透過後會呼叫Cloudflare(作為Issuer角色)API,Cloudflare生成token給到瀏覽器。

最後,瀏覽器攜帶token訪問網站(Origin),在這裡,雲服務商Cloudflare做閘道器代理,作為Origin角色來驗證token的有效性,放行訪問網站。


看起來好像很複雜,但整個流程的重點有兩個:

一是整個驗證流程沒有任何需要人工介入的驗證過程 (輸入字元或點選圖片等),整個校驗過程基本無需客戶端和服務端做改造,由蘋果裝置和雲服務供應商完成,裝置是否可信的判斷由蘋果系統完成,相比三方 SDK,蘋果系統有能力獲取到更多的資訊,做更全面的判斷。另外,該技術可以明顯提升脫離瀏覽器使用指令碼直接爬取資料的爬蟲成本;

二是證明「我是人」的方式也從答題、隱私讓渡,變成更合理的檢查裝置是否被破解等資訊,使用支援 PAT 協議的裝置和網站,會減少驗證碼的彈出,使用者體驗會更好。

而這種驗證方式,也與頂象無感驗證的初衷不謀而合。

頂象無感驗證主打無感,結合了裝置指紋、行為特徵、訪問頻率、地理位置等多項技術,有效的攔截惡意登入、批次註冊,阻斷機器操作,攔截非正常使用者,較傳統驗證碼相比,使用者無需再經過思考或輸入操作,只需輕輕一滑即可進行驗證。經過智慧鑑別為正常的使用者,在一定時間內無需再進行滑動操作,既為企業提供了安全保障也讓使用者無感知透過,極大提升了使用者體驗。

蘋果作為手機廠商一哥率先提出了「自動驗證」的功能,有理由相信,未來,無感驗證將是大勢所趨。

是不是可以和人機驗證說再見了?

那麼,人機驗證是不是即將退出舞臺了呢?

“還有很長的路要走”,頂象業務安全專家如是說。

首先,PAT 主要靠蘋果系統來檢測裝置合法性,目前不清楚具體做了哪些檢測,從公開的資訊看會檢測裝置是否可信,是否改了裝置引數等。這種完全靜默的檢測在一定程度上能阻斷一些人機風險,比如指令碼爬蟲,因為無法獲取 token 而會被 block 掉。但在網際網路領域,機器人的風險表現是多樣的,除了指令碼還有其他方式,比如頁面自動化驅動工具,透過群控控制等,該技術對這些風險的覆蓋情況目前還不得而知。

此外,目前支援該方案的雲服務廠商較少,網站 / App 自己支援的話有一定成本,在該方案大規模推廣應用之前人機驗證依然會是主流。

同時,站在手機廠商的角度,該方案的側重點是如何提升使用者體驗,但考慮到安全性,覆蓋度等問題,仍有較多的細節需要完善改進。

一方面,要實現這項功能需要企業網站改造來支援 PAT 協議,或者企業網站託管到雲服務供應商上,目前已知支援 PAT 協議的雲服務廠商僅有國外兩家 Cloudflare 和 Fastly。

此外,該方案只能在使用國外網站和 App 時,體驗會好一些。如果是國內,除了企業的網站、iOS 應用要去改造,還要考慮如何相容 Android、鴻蒙、微信小程、支付寶小程式等。

另一方面,在安全性方面,國內很多黑產會使用裝置牧場或者雲手機,該項技術對於使用裝置牧場或者雲手機的攻擊者來說可能無效,裝置牧場和雲手機的裝置基本都是正常裝置,如果開啟 Automatic Verification 設定,該技術可能會讓攻擊者更加便利的獲取利益。

並且,國內黑產的專業程度非常高,對抗也非常激烈,相信用不了多長時間,針對 PAT 的繞過或者破解方案就會出來。而對國內廣大需要人機防護的廠商來說,在營銷推廣,線上活動等場景不僅需要足夠安全的防護,還需要快速的應急和更新能力。如果 PAT 這個方案被破解,恐怕只能等 iOS 下個版本的更新了。

但不得不說,蘋果為其他手機廠商也提供了“範本”。

從使用者體驗角度來看,PAT 是一個不錯的創新點。但對於廣大網際網路企業來說,安全和體驗是需要同時考慮的。提高使用者體驗的同時,需要準備充足的安全應急能力。比如後臺要具備動態的風險決策判斷能力,能夠實時調整線上的安全策略; 要有多種驗證碼作為儲備,並且能夠實時切換。因此,企業在接入 PAT 的同時,不能完全依託 PAT,PAT 是一個最佳化使用者體驗的方案,但替換不了整個業務安全。

無感 + 風險對抗 + 策略的全鏈路防護方案將是重點

綜上,不難看出,對於企業而言,他們的需求不僅僅是提升使用者體驗,更重要的是能夠有風險對抗防護的能力以及出現風險問題之後如何解決的能力。

頂象防禦雲基於多年實戰經驗和技術產品,擁有豐富的技術工具、數萬個安全策略及數百個業務場景解決方案,具有情報、感知、分析、策略、防護、處置的能力,提供模組化配置和彈性擴容,助企業快速、高效、低成本構建自主可控的業務安全體系。

其主要包含業務感知防禦平臺、驗證碼、裝置指紋和端加固等產品。具備裝置真偽識別、行為驗證、風險感知、高效能實時計算、高效的策略執行和攻擊還原等六大能力能力。能夠融合全網風險態勢,為行業企業提供全網的安全攻防對抗情報; 基於攻防實戰中打磨的技術和實戰經驗,形成行業通用策略和針對需求定製的專屬策略,並透過雲端實時迭代和聯動; 提供風險識別、防禦處置、攻擊還原、人工審查、關聯分析、資料沉澱等一體化閉環風險處置; 此外,還具有實現黑樣本資料、風險行為特徵的沉澱,並透過雲端下發各業務安全體系,進一步提升整體風險防控等。

基於頂象防禦雲,頂象也於近期推出了第五代驗證碼。結合安全可信鏈路、快速風險對抗、豐富的驗證方式,可有效攔截撞庫掃號、批次註冊等機器風險行為。

該產品整合了雲端感知能力,升級了無感策略,結合了更多風險識別維度,具備更強的攻防對抗和使用者體驗,可覆蓋 iOS、安卓、PC 瀏覽器、小程式等。應用在對於賬號體系或者希望在人機驗證環節做重點機器流量防控的各類企業。該產品具備業內最豐富的驗證方式,透過驗證魔方可實現快速攻防對抗 (10s 內完成配,60s 即可生效),有效攔截機器操作等風險行為。

具體來看,有以下幾方面優勢:

一、智慧無感,極致使用者體驗

頂象智慧風控大腦根據使用者可疑程度,多級區分使用者等級,為安全使用者提供極致體驗,安全使用者無感知透過,高風險使用者需二次驗證。較上一代無感模式,強化了裝置風險識別能力,增強了人機識別模型、行為特徵等模型,為可信任的安全使用者提供更好的體驗。

二、雲端賦能,即時感知迭代

頂象防禦雲透過線上的全鏈路風險防控產品對網際網路、金融等行業的作弊手段進行監控、黑產特徵分析、業務風險識別形成風險情報,透過同行業、跨行業的風險情報資訊共享,打通上下游防控鏈路,連結各行業的“資訊孤島 ",從而賦予了新一代驗證碼根據風險動態實現自我升級迭代的能力。更重要的是透過雲端情報賦能企業業務人員,第一時間獲取風險動態,提供防控思路,幫助企業提升風險防控能力,形成從風險感知到風控產品升級、風控能力提升的閉環流程。

三、多維判斷,快速攻防對抗

隨著黑產手段的多樣化,多維度的資訊更加有力於風險判斷,實時流計算及場景策略結合機器學習訓練的人機模型、歷史資料的關聯分析,面對風險變化時可實現全面、即時、快速的風險分析對抗。

在使用者體驗層面,智慧風控識別與驗證相結合,透過風控引擎多級區分使用者請求,可實現安全使用者無感知透過,提升使用者使用體驗,截止目前已經廣泛應用於各個網際網路和金融機構。

相關文章