linux.do

Augment新设备指纹风控机制（Stytch安全公司出品：telemetry.js）详细分析

发现站内最近一周内佬友们注册Augment失败率飙升，无论如何更改网络环境、指纹浏览器，乃至换邮箱为Google或Github都一样的：Verification failed

于是乎尝试分析了一下整个Augment的注册系统，发现果然有猫腻，竟然多出了Stytch（Stytch - A better way to build auth），是一个基于AI的身份验证平台。简单点说就是获取设备指纹的。

算算这个，Augment已经有ReCAPTCHA、hCaptcha、Verisoul、Stytch四大天王镇守了。

拿到：login-stytch.augmentcode.com/telemetry.js 分析。

不难看出，核心机制：WASM “黑盒”。这个文件的核心并不在于一大堆 JavaScript 代码，而在于其中嵌入的一段巨大的 Base64 字符串。

WebAssembly (WASM) 载荷：代码中定义了一个极长的字符串 "/xFJPP..."。脚本通过 ha 函数解码这个字符串，将其转换为二进制数据，并通过 WebAssembly.instantiate 或类似机制加载运行。真正的风控逻辑（如收集显卡型号、Canvas指纹、音频指纹、检测自动化工具特征）是用 C++ 或 Rust 编写并编译成 WASM 的。这使得逆向工程变得极其困难，因为攻击者看到的是编译后的二进制指令，而不是可读的 JS 代码。

其中大部分 JS 代码（如 function instantiate(hd)...）是由 Emscripten 编译器生成的“胶水代码”。它的作用是搭建一座桥梁，让浏览器（JS环境）能和 WASM（二进制环境）互相通信。它模拟了文件系统（/dev/null, /proc/self 等）和内存管理。

文件末尾暴露了一个全局函数 window.GetTelemetryID，这是整个脚本的入口点。

执行步骤阐释如下：

1. JS先在Aug注册初始化 WASM 模块：调用 await telemetryjs() 加载并启动 WASM 实例。
2. 配置与参数：默认配置了 publicToken（租户ID）和 submitURL（数据上报地址 https://telemetry.stytch.com/submit）。
3. 生成指纹 (GetTID)： ● 代码调用了 d.GetTID(g)。注意，这个 GetTID 是 C++ 暴露给 JS 的接口。 ● 幕后动作：WASM 内部会采集几十种浏览器特征，并在内部进行加密或哈希计算，生成一个唯一的字符串。
4. 超时与竞态保护： ● 设置了 16 秒的超时限制 (setTimeout(..., "16000"))。如果 WASM 在 16 秒内没算出结果，会抛出 TELEMETRY_ERROR_SCRIPT_NO_REPLY。
5. 异常捕获与“蜜罐” (Trap)： ● 关键风控点：代码有一个巨大的 catch(b) 块。 ● 如果 WASM 崩溃、网络被拦截或执行失败，脚本会收集错误信息（exdata）、平台信息（navigator.platform）、性能数据（performance.timing），并将这些发送到 /errors 接口。 ● Fallback ID：在发生错误后，它返回一个硬编码的 UUID：'4fd394a2-bc99-47c5-86d2-64414ee3d1db'。 ● 黑名单机制：如果服务端看到某个请求提交了这个特定的 UUID，它会立即知道客户端环境异常（可能是爬虫屏蔽了脚本，或者是模拟环境不支持 WASM），从而直接进行风控拦截

方便佬们理解，如下图：

   flowchart TD
    %% 节点样式定义
    classDef wasm fill:#2d3436,color:#fff,stroke:#fff;
    classDef trap fill:#d63031,color:#fff,stroke:#333,stroke-width:4px;
    classDef success fill:#00b894,color:#fff,stroke:#333;
    classDef jslogic fill:#74b9ff,stroke:#333;

    Start([调用 window.GetTelemetryID]) --> Config[参数配置 publicToken & submitURL]
    Config --> LoadWASM[await telemetryjs: 加载 WASM 模块]

    %% 子图：WASM 初始化过程
    subgraph Init_Phase [核心机制: WASM 初始化]
        direction TB
        LoadWASM --> Decode[Base64 解码 /xFJPP...]
        Decode --> Emscripten[Emscripten 胶水代码执行]
        Emscripten --> VirtualFS[模拟虚拟文件系统 /dev/null, /proc]
        VirtualFS --> WasmReady[WASM 实例就绪]
    end

    WasmReady --> TryBlock{进入 Try/Catch 保护区}

    %% 子图：执行竞态
    subgraph Race_Phase [逻辑执行: Promise.race 竞态]
        direction TB
        TryBlock -->|路径 A: 正常计算| CallCPP[调用 C++ 接口 d.GetTID]

        subgraph BlackBox [WASM 黑盒风控逻辑]
            CallCPP --> CheckEnv[检测环境: Hook/Node.js/模拟器]
            CheckEnv --> CollectFP[采集指纹: Canvas/Audio/GL]
            CollectFP --> GenID[生成 36位 UUID]
        end

        TryBlock -->|路径 B: 超时熔断| SetTimer[setTimeout 16000ms]
        SetTimer -->|超时| ThrowTimeout[抛出 TELEMETRY_ERROR_SCRIPT_NO_REPLY]
    end

    GenID --> Validate{结果验证}

    %% 验证逻辑
    Validate -->|长度!=36 或 含ERROR| ThrowInvalid[抛出 ERROR_INVALID_RESPONSE]
    Validate -->|验证通过| ReturnSuccess([返回生成的 Telemetry ID]):::success

    %% 错误捕获与陷阱
    ThrowTimeout --> CatchBlock
    ThrowInvalid --> CatchBlock
    GenID -.->|WASM崩溃/环境异常| CatchBlock

    subgraph Trap_Phase [Augment 风控陷阱]
        direction TB
        CatchBlock([Catch 捕获异常]) --> CollectErr[收集错误信息: PID/VS/Platform]
        CollectErr --> ReportErr[上报至 /errors 接口]
        ReportErr --> ReturnTrap([返回硬编码陷阱 ID:<br/>4fd394a2-bc99-47c5-86d2-64414ee3d1db]):::trap
    end

    %% 样式应用
    class BlackBox wasm;

注意最后一个图表底部的陷阱 ID (Trap Phase)，如果在爬虫中直接 Mock 返回值或者环境模拟失败导致报错，脚本会返回 4fd394a2... 这个 ID。服务端收到这个 ID 会直接将请求标记，直接GG。

服务器端会结合 TLS 指纹 (JA3/JA4) 和 TCP/IP 协议栈指纹 来二次验证客户端是否为真实的 Chrome/Safari 浏览器。如果 WASM 生成的指纹显示是 Chrome，但网络层的 TLS 指纹显示是 Python 脚本，请求就会被拒绝。

GetTelemetryID 函数不仅收集显式数据，还利用 fetch 或 XMLHttpRequest 将加密包发送到服务器 https://telemetry.stytch.com/submit

现在某🐟️应该是用如 Playwright/Puppeteer 的 Headed 模式 + 隐身插件完整执行这段代码，让它自然生成合法的 ID

7 posts - 7 participants

Read full topic

via LINUX DO - 最新话题 (author: HOX2333)

Invalid media: image

34 views03:38