“知物由学”是网易云易盾打造的一个品牌栏目,词语出自汉·王充《论衡·实知》。人,能力有高下之分,学习才知道事物的道理,而后才有智慧,不去求问就不会知道。“知物由学”希望通过一篇篇技术干货、趋势解读、人物思考和沉淀给你带来收获的同时,也希望打开你的眼界,成就不一样的你。当然,如果你有不错的认知或分享,也欢迎通过邮件(zhangyong02@corp.netease.com)投稿。
2018年6月28日,Droidcon2018安卓技术大会在上海如期举行。
Droidcon技术大会于2009年由一个Android爱好者国际研究小组在柏林和伦敦发起,旨在为Android开发工程师、应用人员、创业者以及用户提供一个开放的交流平台。目前已在全球5大洲、26个国家和地区召开,是安卓领域全球最有影响力的技术大会。作为TMT产业的全力推动者和引领者,本届大会北京长风信息技术产业联盟联合世界移动大会,邀请了众多国内外知名企业及安卓领域技术大咖参加,共同探讨安卓技术趋势、热点与应用。
网易移动安全技术专家卓辉受邀参会,发表了主题《Android应用破解及防护进阶之路》的演讲,和与会开发者分享了面对应用山寨、重打包、破解、数据泄露、登录安全风险时,我们该如何解决。
一、移动APP的安全风险
随着移动开发技术的不断发展,手机APP已经成为了人们生活中密不可分的一部分。但就目前的APP开发安全现状来说情况却不容乐观,盗版APP、恶意破解、APP劫持、数据泄漏、移动业务攻击等等......各种状况层出不穷。
因此,对于广大开发者和企业来说,移动APP的安全问题亟待解决。常见的安全风险包括有山寨危险、重打包风险、破解/数据泄露、以及登录安全风险。
山寨危险
山寨APP的问题由来已久,实际上,大部分APP都有过被仿冒的经历。据统计,热门应用平均有27个山寨APP,严重危害到了正版应用和用户的利益。如下图所示,通过简单的解包、逆向分析、代码拷贝、简单开发并打包就可以完成山寨应用上架,暴利产业链下还有更多的开发者趋之若鹜,仿冒形式也是多种多样。
在任意的应用商店中搜索“抢红包”,都会出现大批“克隆”的结果列表。
重打包风险
重打包风险主要是指二次打包,通过破解正版的APP进行二次打包上传至应用商城。这种仿冒形式成本低廉、操作简单,“打包党”们通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布。常见的操作手段比如插入自己广告或者删除原来广告、通过恶意代码恶意扣费或插入木马、修改原来支付逻辑等等。
重打包不仅严重危害产品和用户的利益,还会对公司的口碑产生极度恶劣的影响。如下图所示,神庙逃亡即被打包党们进行了二次打包。
破解、数据泄露
金融、支付类App一直是数据泄露的重灾区,多达88%都存在内存敏感数据泄露问题。如下所示,即为常见的金融、支付类本地存储数据泄漏。
数据抓包,泄漏用户名和密码也是常见的状况之一。