盜版APP的問題一直由來已久,困擾了不少使用者。前不久網(wǎng)上一則新聞爆出,由于用戶下載了某知名網(wǎng)貸產(chǎn)品的仿冒APP,遭遇假客服導(dǎo)致直接損失4萬元。從移動(dòng)互聯(lián)網(wǎng)接入我們的生活開始,APP“李逵與李鬼”的問題就一直越演越烈,給不少APP商家和用戶造成了困擾。
根據(jù)國家互聯(lián)網(wǎng)金融安全技術(shù)專家委員會(huì)發(fā)布的《互聯(lián)網(wǎng)金融監(jiān)測情況報(bào)告》中顯示,截止2017年4月30日,系統(tǒng)監(jiān)測發(fā)現(xiàn)互聯(lián)網(wǎng)金融仿冒網(wǎng)頁4.5萬余個(gè),發(fā)現(xiàn)仿冒APP 1300余個(gè),而仿冒APP的累計(jì)下載量已經(jīng)高達(dá)3000萬次,普通用戶對(duì)山寨類APP的識(shí)別能力方面存在著嚴(yán)重的缺失。
山寨APP不僅泛濫在金融行業(yè),實(shí)際上,大部分APP都有過被仿冒的經(jīng)歷。仿冒APP已經(jīng)成為了一條暴利產(chǎn)業(yè)鏈,仿冒形式也多種多樣,比較常見的是通過破解正版的APP進(jìn)行二次打包上傳至應(yīng)用商城,二次打包的成本低廉、操作簡單,一般黑客會(huì)通過AndroidKiller等反編譯工具,在源碼中植入廣告、惡意代碼、木馬病毒再重新二次打包生成新的APP;另外一種常見的誘使用戶下載安裝惡意仿冒應(yīng)用的方式,通過偽基站發(fā)送短信或者是釣魚網(wǎng)站引導(dǎo)用戶上當(dāng)。
隨著移動(dòng)互聯(lián)網(wǎng)的興起,手機(jī)APP已經(jīng)成為了很多人惡意斂財(cái)?shù)哪繕?biāo),除了遭遇二次打包的尷尬之外、一些APP還會(huì)遭遇Java層調(diào)試漏洞、組件安全等安全問題。今年6月出臺(tái)的《網(wǎng)絡(luò)安全法》的第22條明確指出,“網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序;發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。”這條法規(guī)的出臺(tái)也意味著,APP廠商應(yīng)對(duì)APP的安全負(fù)主要責(zé)任,大部分APP開發(fā)人員在APP上線的時(shí)候不得不將安全問題作為APP整體重要的一環(huán)去考慮,而這也正是大部分開發(fā)人員不擅長的事情。
移動(dòng)APP安全究竟該如何考量?全球知名的移動(dòng)信息安全服務(wù)商愛加密的技術(shù)總監(jiān)程智力表示,APP安全應(yīng)該從整個(gè)APP的全生命周期去考慮:“APP全生命周期主要分為以下階段——開發(fā)階段、測試階段、防護(hù)階段、優(yōu)化階段、運(yùn)營階段。顯然,APP山寨的現(xiàn)象是在運(yùn)營時(shí)被仿冒,這其實(shí)完全可以通過安全防護(hù)避免的。在整個(gè)APP的生命周期里,每個(gè)階段都存在著大量APP被侵害的案例,例如常見的漏洞風(fēng)險(xiǎn)、被黑客攻擊后APP被逆向分析、二次打包、嵌入病毒、廣告的惡意代碼等。”
程智力認(rèn)為,APP的安全防護(hù)應(yīng)該覆蓋整個(gè)生命周期,包括在開發(fā)測試階段對(duì)APP的檢測與評(píng)估、APP上線時(shí)做到實(shí)時(shí)防護(hù)、運(yùn)營階段可以實(shí)時(shí)對(duì)渠道監(jiān)測。愛加密免費(fèi)的安全檢測與加固平臺(tái)可以幫助APP進(jìn)行檢測并提供最新第六代雙重VMP加密技術(shù),在確保兼容性的同時(shí)能夠有效為APP提供全生命周期的安全防護(hù)。
- 完 -
愛加密簡介(www.ijiami.cn)
愛加密是北京智游網(wǎng)安科技有限公司2013年推出的核心品牌,在移動(dòng)安全領(lǐng)域擁有眾多的核心自主專利技術(shù),是移動(dòng)安全行業(yè)的領(lǐng)導(dǎo)品牌。旗下產(chǎn)品涉及移動(dòng)應(yīng)用安全開發(fā)、安全防護(hù)、安全優(yōu)化、安全運(yùn)維及移動(dòng)業(yè)務(wù)優(yōu)化等各個(gè)方向,為企業(yè)提供圍繞產(chǎn)品全生命周期的一體化信息技術(shù)服務(wù)。愛加密目前為金融行業(yè)、運(yùn)營商、政府、游戲電商、移動(dòng)OA、教育醫(yī)療等眾多行業(yè)提供整套的移動(dòng)信息安全解決方案。涵蓋Android、iOS、HTML5三大平臺(tái)、為企業(yè)安全部門、技術(shù)部門及業(yè)務(wù)部門提供有力的服務(wù)支撐。愛加密發(fā)展至今,已經(jīng)在全國7個(gè)城市成立公司,包括:北京、深圳、上海、成都、福州、鄭州、廣州。目前服務(wù)APP超80萬款,覆蓋8億終端用戶。
