设备指纹是啥,在风控领域有哪些作用
移动互联网的快速发展,特别是O2O行业与互联网金融行业的迅猛崛起,使得寄生其上的黑色产业链达到了泛滥的地步。据权威机构统计,2015年整个互联网行业因为欺诈造成的损失已经高达7000亿元。在这巨大的黑产利润诱使下,相应的欺诈技术也快速发展。现在的黑产产业,通过整合刷号软件、自动化脚本、验证码打码平台、短信接口和代理服务器等技术,已经实现了全自动化的欺诈作业流程,可以在短时间内给企业造成巨大的经济损失。
针对移动互联网推广与运营中所面临的设备识别与追踪的问题,数字设备指纹技术成为了行业关注的焦点。业内设备指纹技术一般采用Javascript代码或SDK,在客户端主动地收集与设备相关的信息和特征,通过对这些特征的识别来辨别不同的设备和相关用户。这种主动式设备指纹技术有其特有的优点和适用场景,但是在实际的应用中,也暴露出了一些不足与局限。
主动式设备指纹技术需要在客户端上植入自己的Javascript或SDK代码,主动收集设备相关的特征,用以标识设备和用户。在特征的选取上,需要考虑特征的稳定性和准确度。理想的特征应该在一定的时间段内不会因为外界的条件变化、或是用户的操作行为而发生变化,同时在不同的设备上具有显著的差异。通常可用的特征有:
? 浏览器本身的特征,包括UA,版本,操作系统信息等;
? 浏览器中插件的配置,主要是插件的类型与版本号等;
? 浏览器的Canvas特征,影响该特征的因素有GPU特性造成的渲染差异,屏幕的分辨率以及系统不同字体的设置等;
? 系统flash的配置;
? 设备的传感器特征,比如麦克风、加速传感器的特征等;
? 设备操作系统的特征,比如是否越狱等;
? 设备的网络配置;
设备指纹算法会将这些信息组合起来,通过特定的hash算法得到一个最后的ID值,作为该设备的唯一标识符。通过对这个标识符的检测与追踪,就可以在设备的IP,cookie甚至设备ID都发生改变时,仍然识别出该设备。
同时,考虑到设备指纹的稳定性,一般还会结合其他的持久化的存储技术,比如Flash ID,WebDB等,将设备指纹的标识符长期保存起来。
主动式设备指纹技术解决了在复杂的移动互联网环境下设备的识别与追踪问题,在反欺诈与系统安全方面有着诸多的应用。
一方面,O2O、互联网金融与电商等行业,长期面临着各种业务欺诈的压力。黑产产业通过广告流量欺诈、推广套利、虚假交易、伪冒身份、金融信用欺诈等多种方式,骗取企业的推广营销费用、商品、贷款等,给企业造成巨大损失。这类欺诈活动的明显特征,就是欺诈者通过刷号、代理等各种手段,隐藏自己的真实身份和设备信息,以达到欺骗的目的。主动式设备指纹技术可以向企业运营人员展示这些欺诈活动背后的真实设备信息,从而让企业可以侦查、监测这类诈骗活动。
另一方面,在更加基础的系统安全领域,比如账户安全、访问控制等方面,主动式设备指纹技术同样可以帮助企业监测可能的账户密码暴力破解、账户异常接管等事件。通过溯源某些异常的操作是否来源于同一台设备,可以判断是否有系统安全的风险存在。
主动式设备指纹技术已经在互联网领域得到了大量的应用,但与此同时该项技术本身固有的一些局限性也逐步显现出来:
? 主动式设备指纹技术存在用户隐私相关的风险,其原因是该技术需要在客户端收集设备和用户的相关信息。该风险不仅包括用户的隐私被收集、泄露和滥用的风险,也包括因为违反Apple和Google的用户隐私保护政策而造成APP下架的风险。
? 主动式设备指纹技术不能实现Web与APP间的设备关联。由于嵌入Web页面的Javascript代码和移动APP中的SDK收集的设备特征不同,导致生成的设备指纹标识符也不相同。从而造成了同一设备上Web访问和APP使用的相关事件无法关联在一起,限制了主动式设备指纹技术使用的范围。
? 主动式设备指纹技术在欺诈与反欺诈的对抗中,处于被动应对的状态。欺诈者可以通过反编译等技术,破解客户端中嵌入Javascript代码和SDK,知晓设备指纹算法选取的特征,从而在欺诈与反欺诈的攻防战中占据主动的优势地位。
推荐阅读
- 小米手机的指纹信息保管安全吗
- 怎样评价华为、诺基亚、中兴中标中国移动高端路由交换设备扩容集采
- 联通校园宽带限制笔记本发射wifi让其他设备连接,这样做合法吗
- 江苏省|文明乘车!南京地铁提示电子设备勿外放声音
- 华为会因为美国制裁而倒闭吗
- 上海地铁禁电子设备外放首日直击:违者不多,执法队巡视提醒
- 16年毕业,建筑环境与设备工程专业,干的一直是工程想转IT专业,想从python入手请问咋开始学习
- 在手机正面装指纹传感器比在背面装要难
- kindle设备出租是否违反规定
- 环球车讯网|5G物联网设备,防止黑客入侵是首要问题