Seguridad

Cómo proteger las aplicaciones móviles de Sneaker Bots

Los bots de compra automatizados, también conocidos con nombres como «sneaker bots», «click bots», «Instacart bots» y otros, están revolucionando la experiencia de compras en línea y economía informal tanto para los consumidores como para los trabajadores. Estos bots pueden causar un daño considerable a la reputación y al resultado final de una empresa móvil.

Como sugiere su nombre, estos bots se desarrollaron originalmente para automatizar la compra de zapatillas, lo que permitía a los coleccionistas y acaparadores (que las revendían por 10 veces o más) comprar los últimos lanzamientos al por mayor y excluir a los clientes comunes. Entonces, por ejemplo, cuando Nike lanza un nuevo zapato, es casi imposible para una persona vencer a un bot y comprar un par en línea.

Pero estos bots comerciales automatizados no son solo para zapatillas de deporte en estos días. Las aerolíneas, los sitios de comercio electrónico y de eventos, e incluso las empresas de viajes compartidos, han sufrido los efectos de los bots que extraen información y acumulan productos, dañando las marcas de las empresas objetivo y dificultando que los consumidores compren bienes y servicios.

Estos bots son fáciles de conseguir. Las descargas están disponibles en Apple App Store y Google Play, así como en muchos otros sitios. Por ejemplo, los bots de Instacart son aplicaciones de terceros que se ejecutan junto con la aplicación Instacart legítima y obtienen los mejores pedidos tan pronto como se publican en la aplicación, lo que hace que sea casi imposible que los compradores humanos obtengan los pedidos más rentables.

El problema está empeorando.de acuerdo a ImpawaEn 2019, los bots maliciosos representaron casi una cuarta parte de todo el tráfico del sitio web. Si bien una computadora portátil ciertamente puede ejecutar un bot, la aplicación es donde está la acción.Centro de Investigación Pew Informe El 74% de los hogares posee una computadora y el 84% posee un teléfono inteligente. Pero cuando se trata de uso, dominan los dispositivos móviles. El año pasado, más de la mitad del tráfico mundial de Internet provino de dispositivos móviles, y los consumidores estadounidenses pasaron alrededor de un 40 por ciento más de tiempo en teléfonos inteligentes que en computadoras de escritorio y portátiles.

Medidas generales de seguridad en la aplicación

Una onza de prevención vale una onza de cura. Los minoristas electrónicos pueden y deben tomar varias medidas para proteger sus aplicaciones móviles de las aplicaciones de sneakerbot.

En primer lugar, pueden proteger sus aplicaciones para que los desarrolladores de transacciones automatizadas o bots de clicker automatizados no puedan instalar una aplicación maliciosa en el mismo dispositivo que una buena. También evitan que las buenas aplicaciones se sometan a ingeniería inversa, un proceso que permite a los desarrolladores de bots aprender cómo o dónde conectar los bots.

Los métodos de seguridad estándar, como el blindaje de aplicaciones, el endurecimiento de aplicaciones, la protección contra emuladores y emuladores, la protección contra depuración, la protección contra sobrescritura, la ofuscación y el cifrado dirigido evitan el desarrollo o el uso de sneakerbots específicos de la aplicación. Del mismo modo, evitar que las aplicaciones móviles se ejecuten en un teléfono rooteado o con jailbreak podría ralentizar o impedir que el robot deportivo realice su propósito predeterminado.

El objetivo de agregar protecciones de seguridad universales a una buena aplicación móvil es bloquear las rutas comunes necesarias para que funcionen las aplicaciones de bots deportivos y las aplicaciones de clicker automático. Otros métodos comunes, como la ofuscación y el enmascaramiento de aplicaciones, un conjunto de procesos diseñados para impedir la manipulación, ejecutar programas en nombre de una buena aplicación, dificultan que un desarrollador de sneakerbot sepa cuándo o cómo hacer clic y realizar una acción en nombre de la aplicación.

Estos métodos podrían agregarse a la próxima versión de la aplicación móvil para evitar la creación y bloquear el uso de bots de zapatillas.

Medidas de seguridad específicas en la aplicación

En este punto, podría estar pensando: «Sí, pero ¿qué sucede si ya lancé la aplicación sin estas protecciones?» En otras palabras, ¿qué sucede si un pirata informático se enteró del proceso de pedido dentro de la aplicación y creó un bot de zapatillas o un robot automatizado? haga clic en el dispositivo para usarlo, ¿qué debo hacer? Además, para complicar aún más las cosas, «¿qué pasa si no tengo intención de cambiar la forma en que se comporta la aplicación?»


En general, si hay un bot de zapatillas, un bot de Instacart o una aplicación similar utilizada para generar acciones automatizadas para su aplicación o «dentro» del mismo dispositivo, es probable que las buenas aplicaciones móviles carezcan de la protección necesaria para bloquear la aplicación. Primero crea el bot.

Agregar nuevos métodos como ofuscación y bloqueo de aplicaciones (métodos diseñados para evitar el análisis estático y dinámico en nuevas aplicaciones) no ayudará a las aplicaciones existentes (es decir, aplicaciones en dispositivos en manos de los usuarios) a bloquear bots existentes. El bot ya existe, la aplicación ya existe y el bot funciona con la aplicación publicada actualmente.

Lo único que puede hacer para proteger una aplicación existente de los bots existentes que se ejecutan en el mismo dispositivo (suponiendo que no haya otros cambios en la aplicación existente) es actualizar el backend de la aplicación mediante técnicas como la limitación de la tasa de compras. Sin embargo, si su aplicación es una aplicación de entrega bajo demanda, esta función tiene una utilidad limitada. ¿Cómo se asegura de que los compradores reales no sean personas que simplemente compran y hacen clic más? No desea bloquear compras legítimas en su aplicación.

¿Entonces que puedes hacer?

La ofuscación en sí misma es inútil porque el desarrollador de una buena aplicación no cambia la funcionalidad de la aplicación, mientras que el desarrollador del sneakerbot ya entiende cómo funciona la aplicación y creó un bot malicioso para aprovecharla.

Aún así, dependiendo de la solidez de la solución, los métodos como el blindaje y el endurecimiento de aplicaciones, el jailbreak y anti-rooteo, anti-manipulación, etc. pueden proporcionar una defensa eficaz contra los bots existentes dentro de las aplicaciones existentes. Así que siga los consejos anteriores y publique nuevas aplicaciones lo antes posible.

otras mejores prácticas

¿Puedes profundizar un poco más? seguro.

La clave es comprender los métodos utilizados en los bots, es decir, comprender qué está «bloqueando» y qué está «protegiendo» dentro de su aplicación.

Por ejemplo, un bot puede obtener o requerir acceso de root en el dispositivo para funcionar. O bien, puede requerir superposiciones, reflejos, registradores de teclas u otros métodos. Puede depender de la inyección de memoria, programas maliciosos que se ejecutan en segundo plano o requerir la instalación de fuentes desconocidas.

Hay literalmente cientos de formas en que se puede usar un robot deportivo bien diseñado para lograr su propósito. No confíe en escanear ID de paquetes para bloquear estos bots. Los ID de paquete se pueden cambiar fácilmente, algunos bots de zapatillas y casi todas las formas de malware cambiarán automáticamente los ID de paquete. Además, escanear ID de paquetes es como golpear un topo, demasiado esfuerzo para poca ganancia.


La mejor práctica aquí es abordar la amenaza centrándose en los métodos utilizados por los bots de zapatillas para infiltrarse en los procesos de aplicación. Es posible que deba involucrar a su propio equipo de investigación de seguridad o a uno externo para comprender los bots de zapatillas específicos que plagan su negocio, pero es factible.

Tenga en cuenta que algunos de estos robots de zapatillas usan el mismo método para protegerse. Aún así, evitar que los bots de zapatillas arruinen su negocio es totalmente factible sin sistemas complicados y actualizaciones de back-end. No lo dudes, la respuesta está en tu aplicación.

LEER  COVID-19 y seguridad informática, Parte 1: Riesgos del teletrabajo

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba