关于游客登陆和串号的一些情报
0x00 前言
之前听玛德大佬说论坛时有发生游客登陆导致串号的反馈,因此近日对龙渊官服的游客登陆方法进行了分析,一些结论和看法分享给大家。过程看不懂的话可以直接转到0x03看结论
0x01 功能实现
相比账号登录的区别简单来说如下:
账号登陆是发给服务器一个post包,包含用户名密码两个信息获取access-token,
游客登陆是发给服务器两个post包,其中第一个是发送imei获取username,第二个是发送imei和之前获取的username获取access-token。
0x02 分析
经过分析游客登陆的username是imei的前12位,就是说游客登陆实际上只看imei一个参数,imei理论上全球唯一不充分,但是不排除有比如用了模拟器、应用多开这种有可能随机imei导致随机到重复了的情况,也有可能你买的二手手机的老东家玩过等等
0x03 总结和建议
综合来看,不考虑异常情况,重复概率不应该很高,但是游客账号的安全风险不小。imei信息在近期的安卓版本才被划为需要请求权限的敏感信息,早期安卓app可以随意读取imei,并无秘密可言。另外相信各位一般情况也不会禁止APP读取设备信息的权限,而且国内的安卓app大环境基本上比较流氓,你不给我权限我就闪退给你看你就别用。imei被别人拿到既可以实现和你本人一样的操作,不仅仅玩你的号,还可以帮你绑定别人的手机号再改个密码来顺走你的号。综上所述,不建议长期使用游客登录。