从答题赚钱APP谈谈接口防抓包

这段时间，答题赚钱APP真的是红遍了神州大地：国民老公王思聪的冲顶大会、芝士超人、西瓜视频，甚至连老司机韩路也玩起了这个游戏?。有利益就有动力，毕竟每场奖金都在十万、百万，虽然官方可以在最终答对人数上面掺水稀释每人的奖金，但是的确可能拿到奖金。人类，对这种可预期、强反馈的东西跟吸毒一样……于是，市面上出现了很多所谓的自动AI答题工具。大概可以分为两个流派：

1. 通过OCR识别题目，然后用搜索引擎搜索答案告诉用户选什么。答案选择策略各异。做得比较简单的就是选搜索结果最多的那个为正确答案。
2. 直接抓包这些APP下发的题目，然后用搜索引擎搜索答案。

可以看出，主要区别就是如何获取题目的文本。顺便吐槽一句，其实这些工具跟AI有半毛钱关系呀。对于第一种方式，是比较难防的。第二种方式解决办法主要有两种：

1. 设计之初，使用图片下发题目，而不是直接下发题目文本；
2. 如果已经走上了文本下发题目这条不归路，那么至少要做到接口防抓包。

这里我们谈一下接口如何防抓包。

为何可以成功抓包？

1. 接口走HTTP，那么直接是明文传输，也不存在传输层的认证和加密问题，所见即所得。随着大家安全意识的增强，直接这么裸奔的产品越来越少。但是会有人因为各种原因就是不迁移到HTTPS，然后自己实现一个民科版的加密。我们极其不推荐这种做法，主要有以下几个原因：
   1. 大部分工程师都没有密码学背景，设计的算法基本很难完备的考虑数据机密性、完整性和不可抵赖性。
   2. 将应用层与数据传输层进行耦合不仅限制了通用性，如无法进行透明的流量转发，而且会带来非常高的系统维护和迁移成本。
2. 接口走HTTPS。嗯，数据加密了不是？但是，通过中间人攻击(MitM)也是可以成功抓包的。这背后的基本原理是：在手机上安装一个中间人CA证书(如Charles证书) --> APP信任手机上的证书 --> 中间人可以成功解密流量进行抓包。

如何防止抓包？

对于HTTPS API接口，如何防止抓包呢？既然问题出在证书信任问题上，那么解决方法就是在我们的APP中预置证书。在TLS/SSL握手时，用预置在本地的证书中的公钥校验服务器的数字签名，只有签名通过才能成功握手。由于数字签名是使用私钥生成的，而私钥只掌握在我们手上，中间人无法伪造一个有效的签名，因此攻击失败，无法抓包。

同时，为了防止预置证书被替换，在证书存储上，可以将证书进行加密后进行「嵌入存储」，如嵌入在图片中或一段语音中。这涉及到信息隐写的领域，这个话题我们有空了详细说。

预置证书/公钥更新问题

这样做虽然解决了抓包问题，但是也带来了另外一个问题：我们购买的证书都是有有效期的，到期前需要对证书进行更新。主要有两种方式：

1. 提供预置证书更新接口。在当前证书快过期时，APP请求获取新的预置证书，这过渡时期，两个证书同时有效，直到安全完成证书切换。这种方式有一定的维护成本，且不易测试。
2. 在APP中只预埋公钥，这样只要私钥不变，即使证书更新也不用更新该公钥。但是，这样不太符合周期性更新私钥的安全审计需求。一个折中的方法是，一次性预置多个公钥，只要任意一个公钥验证通过即可。考虑到我们的证书一般购买周期是3~5年，那么3个公钥，可以使用9~15年，同时，我们在此期间还可以发布新版本废弃老公钥，添加新公钥，这样可以使公钥一直更新下去。

–EOF–