如何评价微信团队回应「10 元就能在朋友圈改定位」?

甜草莓,认真写想写的/不是专家/有时候瞎说话

我的第一反应是贩卖信息差真的到处都有啊,哪儿都能收智商税,还有很多人交….依靠 location cheating 修改朋友圈定位其实是最初级的应用,整个灰色产业链大多了….

最近有个工作和 location cheating & proofing 相关,简单介绍一下这个问题。

现在 GPS 定位完全是手机自己上报自身位置信息,所以改起来特别简单,具体怎么改..目前手机里的定位信息是 GPS+ 基站定位,应用程序调用的是操作系统 api。简单来说,用 GPS faker 可以改 GPS 定位信息,用 xposed 里的 Xprivacy 模块可以改基站定位,这俩都有开源软件,也有相应的 app,简单易学上手很快。

甚至听说 360 手机自带位置穿越。

正因为个人定位信息的实现机制缺少验证导致定位信息很容易篡改,所以阻碍了相当多 Location-aware service 正向发展,尤其是与金融等现实利益相关的产业。举几个简单的例子:

  • 打卡:为了吸引游客,展会 / 景区经营者希望在特定位置发放 real-world rewards(比如哈根达斯优惠券,或者现金奖励)。现在的做法是现场找专人发放打卡表,在特定区域盖章,盖满 5 个章之后可以召唤神龙 (雾:)。这么原始的人力方式正是因为室内定位 / 可信定位系统不完善,如果只依靠线上打卡,可能会被羊毛党撸到秃。某些只依靠 GPS 做的上班打卡也可以欺骗,当然还有更国情相关的 — 工会要求运动,现在的软件已经可以生成虚假跑步轨迹了
  • 打车抢单:前段时间的出行单据分配主要是靠距离远近,如果滴滴平台上一个司机距离乘客很近,那么系统优先把单据分配给该司机,理论上这很有道理,但是现实却很骨感:司机可以改定位。通过 GPS cheating 和自动抢单,可以把自己的定位伪装到距离乘客只有几米,甚至负数,从而顺利抢到一些机场 / 火车站等大单,这已经是一条产业链了。这也正是因为定位信息不可信导致的。据我观察,现在滴滴的解决方法是在一定区域内(可能是 3km)随机分配订单。
  • 抢宝宝服务:pokergo 是前一段时间大火的 AR 游戏,但是抓小精灵需要肉身到指定位置才行,于是广大聪明玩家就用 GPS cheating 发明了坐标传送,想在哪儿就在哪儿….网络版大传送术。
  • 假跨国代购微商:更简单的,朋友圈微商准备出国代购,他真的去了吗?其实可以不用去。
  • 位置相关的访问控制:在某些关键区域,比如厂房、医院某些科室,需要严格的访问控制权限,大部分现有的解决方案都是安装门禁,刷卡或者刷脸进入。这需要有物理隔离(比如门和围墙),在宽广区域内的访问控制和监控无法完全通过线上线下交互完成(近场定位有一些解决方案比如 UWB 和蓝牙),当然这也主要是因为定位信息不足够可信和精确,否则可以直接在线上解决。
  • 位置相关的金融服务:例如 steam 等平台存在低价区,现有的方案是计算 IP 所属地区和支付所在地区来决定用户是否属于低价区,但是大家也都看到了,VPN 可以完美骗过。

上述例子只是一小部分,正是因为位置信息不可靠,所以存在一条非常完整且庞大的灰色产业链阻碍位置相关的服务和技术(LBS)发展。即使如此,目前 LBS 产业也非常发达,存在相当多的独角兽公司,比如 foursquare,Gowalla,GyPSii 和 Brightkite,这些公司其中一些在做 2B 服务,为 Google,腾讯等大型公司提供 LBS 解决方案。一些在做 2C 服务,比如位置相关的社交网络。从整体上看,整个 LBS 产业价值已经相当高了。

目前有一些防欺诈方法,主要有两种,verification 和 proofing

  • verification:我们可以在应用侧,比如在操作系统中添加 location verification 相关策略,分析运动轨迹,可以检测到用户是否在上报假位置数据,这部分可以通过一些简单的策略,或者是数据分析 / 机器学习来完成。比如如果一个小时之内存在连续的大幅度位置跳跃 / 或者 1min 之内位移超过 180×180 平方米,那么可以认为该用户存在 super human speed, 这就是位置欺诈。机器学习可以通过分析数据做到更智能的异常数据识别,在系统上报位置信息之前可以自动计算验证数据是否可靠。
  • proofing:如果周围有电子设备可以证明自身所处位置,那显然会更加可靠,不过 proofing 需要双向数据交互和数据加密来验证身份 — 周围的设备需要通过验证唯一性的用户 id(比如加密证书)来证明用户真实存在,目前理论上,基站、蓝牙信标都可以做到。请特别注意 location proofing 和基站定位并不是一回事。

就本问题来说,微信检测外挂最好的手段是通过数据分析来完成,就是第一种,这对微信来说并不难。不过道高一尺魔高一丈,如果生成虚假用户轨迹而不是直接粗暴的位置传送,还是很难识别的。Location Proofing 是更好的解决方案,目前运营商拥有 location proofing 相关数据,但是未知是否会开放 / 以及开放到什么程度。

大概如此。

完。

发帖时间: news

关于 “如何评价微信团队回应「10 元就能在朋友圈改定位」?” 的 1 个意见

  1. Usually I don’t read article on blogs, however I wish to say that this write-up very pressured me to check out and do it! Your writing taste has been surprised me. Thanks, quite great article.

发表评论

电子邮件地址不会被公开。