设备指纹合规
设备指纹应用中,在采集用户设备指纹信息的过程,首先必须确保用户APP中有 《用户隐私政策》 ,并且在首次启动APP时就弹出《用户隐私政策》获得用户的同意,不得默认用户已勾选。并且确保只有用户同意的时候才可以进行对用户信息的采集。
根据 《网络安全法》 等相关法律法规要求,APP应当在隐私政策中向最终用户告知收集、使用、于第三方共享最终用户个人信息的目的、方式和范围,并征得最终用户明示同意才可以采集用户信息。
设备信息采集需要遵循必要最小化低频采集非敏感信息原则,在采集用户属性时候,不应采集用户行为和应用列表、传感器状态、通讯录、相册等敏感信息,采集这些属性容易出现不符合隐私合规政策。支持按需采集和合规上架指导,采集信息 合规和安全加固,不触碰用户隐私,不会被黑产破解,兼容性好。
设备指纹SDK的初始化时机,在安装后首次启动时,并且只有在用户同意隐私协议后,才进行设备指纹SDK初始化。如果用户没有同意隐私协议不可进行采集数据。
风控场景分析
设备指纹的在游戏应用场景中主要风控维度:手机设备、游戏账号、账号行为、账号动机。
设备指纹识别设备的风控特征:模拟器、协议刷数据、脚本外挂、设备改机、多开工具、云手机等。
设备指纹识别游戏账号的风控特征:批量注册游戏账号、猫池、接码手机、通讯小号等等。
设备指纹识别游戏行为的风控特征:批量养号、黄牛养号、鱼塘账号。
设备指纹识别账号动机的风控特征:账号的买卖、游戏的代练等
设备指纹识别风险识别重点在于:注册、登录、营销、交易、充值、渠道推广等业务场景中,识别出虚假注册、盗号、养号、薅羊毛、虚假推广、作弊行为,然后对应采取一定的对抗策略方案。
游戏中黑灰产破解移动端的技术及工具不断在更新变化发展,设备指纹中核心的技术攻防点主要围绕,root(非法读取文件,反安全检测)、自动化工具(批量注册、活动作弊)、模拟器(自动注册小号、秒杀)、多开(虚假作弊、养号、)、改机、群控(薅羊毛、虚假流量),app重打包(植入广告、破解功能限制)等问题。
通过基于设备指纹技术,可以实现IP风险画像、风险情报、邮箱风险画像去识别游戏的黑灰产行为,然后对游戏黑灰产进行重点打击。
