Catégories
Conseils e-commerce

Comment protéger les applications mobiles contre les robots Sneaker »wiki utile Sécurité


Acquérir, fidéliser et ravir les utilisateurs OTT
Obtenez le guide de l'industrie des médias et du divertissement de Vlocity pour découvrir comment
l'accélération de la demande de consommation en continu redéfinit l'industrie; et pourquoi les modèles d'engagement client axés sur le numérique sont essentiels pour survivre à l'ère de la 5G. Téléchargez l'eBook.

Les robots d'achat automatisés, également connus sous le nom de «robots de baskets», de «robots de clic», de «robots d'Instacart» et d'autres noms, ruinent l'expérience d'achat en ligne et d'économie des concerts pour les consommateurs et les travailleurs. Ces robots peuvent nuire considérablement à la réputation et aux résultats d'une entreprise mobile.

Comme leur homonyme l'indique, ces robots ont été développés à l'origine pour automatiser l'achat de baskets, permettant aux collectionneurs et aux accumulateurs (qui les revendront à une majoration de 10x ou plus) d'acheter des quantités massives des dernières versions et évincer les clients ordinaires. En conséquence, par exemple, lorsque Nike sort une nouvelle chaussure, il peut être presque impossible pour les individus de battre les robots et d'acheter une paire pour eux-mêmes en ligne.

Mais ces robots de transaction automatisés sont maintenant utilisés pour bien plus que de simples baskets. Les compagnies aériennes, les sites de commerce électronique et d'événements, et même les sociétés de covoiturage, souffrent tous de bots qui grattent des informations et stockent des produits, endommageant la marque de l'entreprise ciblée et rendant difficile l'achat de biens et de services pour les consommateurs.

Ces robots sont faciles à obtenir. L'App Store d'Apple et Google Play les fournissent tous deux au téléchargement, ainsi que de nombreux autres sites Web. Par exemple, les bots Instacart sont des applications tierces qui fonctionnent parallèlement à l'application légitime Instacart et réclament les meilleures commandes dès qu'elles sont publiées sur l'application, ce qui rend pratiquement impossible pour les acheteurs humains d'accéder aux commandes les plus lucratives.

Le problème s'agrandit. Selon Imperva, les mauvais bots représentaient près d'un quart du trafic global du site Web en 2019. Bien que les ordinateurs portables puissent certainement exécuter des bots, les applications sont là où se trouve l'action. Le Pew Research Center rapporte que 74% des ménages possèdent un ordinateur et 84% un smartphone. Mais en matière d'utilisation, le mobile domine. Plus de la moitié du trafic Internet mondial l'an dernier provenait d'appareils mobiles, et les consommateurs américains ont passé environ 40% de temps de plus à utiliser leurs smartphones que leurs ordinateurs de bureau et portables.

Mesures de sécurité générales dans l'application

Une once de prévention vaut une livre de guérison. Les e-commerçants peuvent et doivent prendre un certain nombre de mesures pour protéger leurs applications mobiles contre les applications de bot sneaker.

Pour commencer, ils peuvent protéger leurs applications afin que les développeurs de transactions automatisées ou de robots à clic automatique ne puissent pas installer l'application malveillante sur le même appareil que la bonne application. Ils peuvent également empêcher la bonne application de faire l'objet d'une ingénierie inverse, un processus qui permet au développeur de bot de comprendre comment et où insérer le bot.

Les méthodes de sécurité standard telles que le blindage des applications, le renforcement des applications, la prévention des émulateurs et des simulateurs, la prévention du débogage, la prévention des superpositions, de l'obscurcissement et du cryptage ciblé peuvent empêcher le développement ou l'utilité des robots sneaker qui ciblent une application spécifique. De même, empêcher une application mobile de fonctionner sur des téléphones enracinés ou jailbreakés peut également ralentir ou empêcher les robots de sneaker de mener à bien leurs fins prédéfinies.

L'objectif de l'ajout de protections de sécurité généralisées dans la bonne application mobile est de bloquer les voies courantes dont les applications de baskets et les applications de clic automatique ont besoin pour fonctionner. D'autres méthodes générales, telles que l'obscurcissement et le blindage des applications, un ensemble de processus utilisés pour bloquer la falsification, l'exécution de programmes au nom de la bonne application, rendent extrêmement difficile pour les développeurs de robots de sneaker de savoir quand et comment cliquer et exécuter des actions pour le compte de l'application.

Ces méthodes peuvent être ajoutées à la prochaine version de l'application mobile pour empêcher la création et arrêter l'utilité des robots sneaker.

Mesures de sécurité ciblées dans l'application

À ce stade, vous pouvez penser: "Oui, mais que faire si j'ai déjà publié mon application sans ces protections?" En d'autres termes, que se passe-t-il si les pirates comprennent déjà le processus de commande dans l'application et créent un bot sneaker ou un auto-clicker pour en profiter? Aussi, pour compliquer les choses, "Et si je n'ai pas l'intention de changer le fonctionnement de mon application?"

De manière générale, s'il existe un bot sneaker, un bot Instacart ou une application similaire utilisée pour générer des actions automatiques contre ou "à l'intérieur" de votre application à partir du même appareil, on suppose que la bonne application mobile ne disposait pas des protections nécessaires pour bloquer le création du bot en premier lieu.

L'ajout de nouvelles méthodes comme l'obfuscation et le blindage des applications, des méthodes conçues pour bloquer l'analyse statique et dynamique dans une nouvelle application, n'aidera pas le existant (c'est-à-dire que l'application sur les appareils entre les mains de vos utilisateurs) bloque existant bot. Le bot est là-bas, et l'application est là-bas, et le bot est conçu pour fonctionner avec l'application actuellement publiée.

La seule chose que vous pouvez faire pour protéger l'application existante d'un bot existant fonctionnant sur le même appareil – en supposant qu'aucune autre modification ne soit apportée à l'application existante – est de mettre à jour le backend de l'application, en utilisant des techniques telles que la limitation des achats. Cependant, cela a une utilité limitée si, par exemple, votre application est une application de livraison à la demande. Comment pouvez-vous garantir que les vrais acheteurs ne sont pas simplement ceux qui achètent et cliquent davantage? Vous ne souhaitez pas bloquer les actions d'achat légitimes dans votre application.

Alors que peux-tu faire?

L'obfuscation en elle-même est de peu d'utilité, car le développeur de la bonne application ne va pas changer le fonctionnement de l'application, et le développeur du bot sneaker comprend déjà comment l'application fonctionne et a construit le bot malveillant pour en profiter. .

Néanmoins, en fonction de la force de la solution, des méthodes telles que le blindage et le durcissement des applications, le jailbreak et la prévention des racines, l'antitampering et d'autres méthodes peuvent fournir une défense efficace à l'intérieur d'une application existante à un bot existant. Alors, suivez les conseils ci-dessus et publiez une nouvelle application le plus rapidement possible.

Bonnes pratiques supplémentaires

Pouvez-vous aller plus loin? Bien sûr vous pouvez.

La clé est de comprendre les méthodes utilisées dans le bot, c'est-à-dire de comprendre ce que vous «bloquez» et ce contre quoi vous «protégez» dans votre application.

Par exemple, le bot peut obtenir ou nécessiter un accès root sur l'appareil pour fonctionner. Ou, cela peut nécessiter une superposition, une mise en miroir, un enregistreur de frappe ou une autre méthode. Il peut reposer sur une injection de mémoire, un programme malveillant s'exécutant en arrière-plan ou doit être installé à partir de sources inconnues.

Il existe littéralement des centaines de méthodes bien conçues par les bots de baskets pour mener à bien leurs fins. Ne comptez pas sur l'analyse des identifiants de bundle pour bloquer ces bots. Les identifiants de bundle peuvent être facilement modifiés et certains robots sneaker et pratiquement toutes les formes de logiciels malveillants modifient automatiquement les identifiants de bundle. En outre, la recherche des identifiants de bundle est comme un coup de foudre, trop d'efforts pour trop peu d'impact.

La meilleure pratique ici est de répondre à la menace en se concentrant sur les méthodes utilisées par le bot sneaker pour infiltrer les processus de votre application. Vous devrez peut-être faire appel à votre équipe de recherche sur la sécurité ou à une équipe de recherche externe pour comprendre le bot sneaker particulier qui sévit dans votre entreprise, mais c'est faisable.

Notez que certains de ces robots de baskets se protègent également avec les mêmes méthodes. Pourtant, il est tout à fait réalisable d'empêcher les robots de sneakers de détruire votre entreprise sans systèmes complexes et mises à niveau back-end. N'hésitez pas, la réponse peut être dans votre application.


Tom Tovar est PDG d'Appdome.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *