《我的世界》防沉迷系统仍未得到完全有效的实施成果

《我的世界》防沉迷系统仍未得到完全有效的实施成果

前言：近来发现《我的世界》的登录系统存在一些问题，于是尝试通过调试绕过登录时的防沉迷验证. 通过调试，成功将该系统绕过并保持在晚上9时后仍然可以保持登录状态. 直至连续将该防沉迷账号连续“挂机”7天仍然没有退出并能成功领取启动器内奖励，本人意识到该问题较为严重，且存在泄露信息的风险，于是写下本文.

《我的世界》游戏（以下简称“游戏”）由于移植原因，其中存在着许多问题. 登录系统就是其中之一. 众所周知，在2.1版本中，游戏的登录系统进行了升级，将防沉迷系统内置于登录系统中，并增加了人脸识别验证（如图一）. 然而，这并没有完全达到预期的效果. 该验证诚然“防”住了许多未成年人，但实际上仍“形同虚设”，可以轻松绕过，没有起到完全有效的效果.

^ 图一

步入正题：

本次实验使用了一个未成年人账号（本人身份证信息）和数个成年人账号（身份证信息来自网络）.

下面是通过该实验发现的问题：

一、实名防沉迷监管不到位，使用网上找的身份证仍然能够成功认证

本人从必应等搜索引擎网站查找身份证照片，并随便使用了几个信息，结果表明，其中大约20%的身份信息仍然可直接通过验证，且一个身份证能够绑定超过5个账号.

二、人脸识别系统存在漏洞，触发机制有待完善

通过调试，能够发现人脸识别系统的开启（并非触发）为服务器返回值，并没有进行加密. 因此通过高科技手段修改该返回值即可绕过该系统（如图二），并成功登录（如图三，测试的账号为疑似未成年账号）. 而且在捕获返回值时可查看该账号的账号信息与年龄，极易造成信息泄露.

^ 图二

^ 图三

为了测试触发机制，同时在三台模拟设备23:00时进行相同模拟未成年人游玩操作，只有一个账号被识别出并在下次登录时要求人脸识别.

三、防沉迷验证系统存在漏洞，“温馨提示”背离“温馨”

和人脸识别系统的开启一样，验证系统并没有进行信息加密，导致也能够通过高科技手段修改返回值，“绕过”该验证，甚至能够“DIY”里面的内容（如图七）.

由此，疑似未成年账号成功登录（如图四）.

^ 图四

^ 图五

^ 图六

^ 图七

（图五为未加密的返回值，图六为修改后的返回值，图七为设备显示内容）.

当然，也有较好的一面，就是真正未成年的账号在登录时有“第二道防线”（pe-authentication），该返回进行了加密，无法进行修改（如图八）.

^ 图八

四、游戏内跟踪本地化，在线验证形同虚设

游戏内的防沉迷跟踪，是借助一个本地的插件进行的. 在登录时会返回一个是否为（疑似）未成年人的值，通过该值决定是否启用跟踪系统. 然而该系统本地化，仅在设备上检测时间，且在云端每3分钟验证一次时间. 但由于该系统为本地，用高科技手段修改返回值同样能够“骗过”游戏，不启用跟踪系统.

五、防沉迷系统也在“耍猫腻”

如图九，在充值时提示仅可在特定时间段进行，然而在该时间段外无法进行登录，何来的该操作？这表明，wy或许真的提供了某些能够在时段外在线的方法，但从官方处无从得知.

^ 图九

结论：据以上赘述，可轻松“对症下药”编写出一个“破解”程序. 通过此类程序. 未成年人只需要在能够登录的时间登录一次（疑似未成年账号只需在任意时间登录），即可在游戏内无限畅玩. 为避免此现象的发生，wy和《我的世界》运营团队责无旁贷.

以上问题及解决方案已向官方反馈，此处不宜过于详细地讲述. 希望以后MC能够发展得蒸蒸日上，稳占热门游戏行业. 更希望广大未成年人以学习和户外活动为重，尽量少地进行网络游戏，而不是像本人一样“沉迷”于防沉迷系统！

谢谢！

该文章为本人原创，写作用时3天，如有不妥之处请指出并见谅.