游戏安全资讯精选 2017年第十六期:房卡式棋牌游戏涉赌博风波,抓娃娃火爆市场背后的安全隐患需警惕,Linux内核的Huge Dirty Cow权限提升漏洞

11天前 446


0e2605beda5386c9bd151bbc132da6d1279b929d


【每周游戏行业DDoS态势】


b30372d310b5ab0ee41472ec98229073f41d013b


【游戏行业安全动态】房卡式棋牌游戏涉赌博风波



概要:近日隔壁棋牌游戏公司先后因涉赌被处理的消息,引发业内广泛关注。多名业内人士认为,出现这种事,并不应该由房卡模式来“背锅”,原因还是在于这些棋牌公司本身资质不全,并且为了拉拢人气牟取暴利而违规参与组织抽成。中永律师事务所梅钟律师表示:“如果游戏公司只是提供游戏平台和打牌的技术,不涉及参与组织或反向兑换,那它作为赌博的参与方和组织方的风险是比较小的。”


点评:线上棋牌游戏极易发展成赌博,为了规避风险,几乎大多数棋牌游戏供应商都不提供直接的在线充值,一般是通过转账或者直接代理模式兜售房卡,而且地方棋牌市场也基本趋于饱和、竞争持续激烈,相互之间的攻击也是层出不穷。


律师表示,对于游戏公司应在棋牌游戏中尽什么样的义务,目前法律上还没有明确规定,因此尚不构成棋牌游戏公司因监督不到位而被追究法律责任的情况。“但游戏公司还是应该尽一个合理注意义务,比如对用户的身份应该严格审核;明确提示不得利用游戏进行赌博;或对一些线下的反常交易行为等,应该提起注意。随着相关部门管理力度的加大和实名制的实施,今后对于棋牌游戏公司监督义务的规定肯定也会慢慢出现。”(来源:游戏茶馆)




【游戏行业安全动态】抓娃娃机大火,背后的安全风险几何?


概要:线下抓娃娃竞争在近些年来日益激烈,大有饱和的趋势。公开数据显示,2012年中国抓娃娃机产量为21.11万台,到2016年增长至31.64万台,同比2015年增长了7.97%,五年复合增长率10.65%。最近,线上抓娃娃机开始迎来爆发期。八月份,“天天抓娃娃”登录App Store,作为线上流量变现的一种有效手段,社交大平台自然也注意到了在线抓娃娃的爆发,9月份,YY反应迅速,在新版本中上线了“欢乐抓娃娃”,陆陆续续的,一些小的社交平台也将在线抓娃娃功能嵌到了自己的平台。


与社交、直播行业融合,是未来抓娃娃行业的趋势。一整套的在线娃娃机方案包括了硬件方案和软件方案,硬件方案包括娃娃机侧系统板子的选型,系统板子和娃娃机天车串口的调优,软件方案包括视频直播系统和实时信令控制系统的开发。看似简单的抓娃娃,却涉及到物联网、视频直播、电商等领域,安全风险,也是下一个会被关注到的点。


点评:2017年,线下娃娃机在每年30%的增长率下已经达到了200万台的存量,成为线下游艺机的赢家。2017年也是线下娃娃机的线上价值被发现的一年,其带有博彩性质的玩法,可能成为棋牌行业之后新的攻击爆发点,其结合了物联网技术以及互动音视频技术,对安全的依赖性不言而喻:从DDoS,Web攻击,到薅羊毛等风险问题会相继出现,想抓住风口的游戏行业公司,也许警惕背后的安全风险。



【相关安全事件】Linux内核的Huge Dirty Cow权限提升漏洞


概要:问题出现在get_user_pages函数中。 该函数用于获取用户进程中虚拟地址后面的物理页面。 调用者在使用时必须指定在这些页面上执行的动作,从而内存管理器可以准备相应的页面。而当调用者在私有映射内的页面上执行写入操作时,页面可能需要经历COW(写时复制)循环 ——当新页面可写时会将原始“只读”页面复制到新页面,而原始页面可能是具有“特权”的,由此造成了该漏洞。 


点评:阿里提供的Ubuntu、CentOS及RHEL 5/6/7发行版本由于未引入漏洞代码,不受此漏洞影响。 可以通过查看(cat) /sys/kernel/mm/下的transparent_hugepage目录enabled文件进行检测,显示[always]则会有影响 。本漏洞安全风险较低,升级内核风险较大,谨慎升级内核;可以关注官方发布的安全补丁。

 


订阅 NEWS FROM THE LAB


云栖社区专栏获取最新资讯

微博专栏获取最新资讯

一点号获取最新资讯


029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈 

f4e338d5b817324ee85128eeafa00d7d5d5453ab

扫码加入THE LAB读者钉钉群

(需身份验证)

 


云栖社区 linux 安全 函数 电商 内存管理 钉钉 物联网

作者

觉宇
TA的文章