移动互联网时代,移动 APP 已经渗透进大家生活点点滴滴,聊天、游戏、购物、娱乐、出行…这些 APP 由程序员们辛苦开发,一方面让用户使用方便与舒适且不受损失,另一方面还要保障企业品牌与利益,但盗版如洪水般泛滥,影响全球数以万计的 APP 应用。
据统计,国内应用盗版情况相当严重。比如游戏类应用,超过90%存在盗版情况,且热门游戏平均每款盗版量超过150个,其中超过30%植入了恶意扣费代码,严重侵害用户的权益,这些归根结底都称之为安全问题。
那么陷阱究竟是如何一步步引导网民踏进去的呢?我们一起来看台湾媒体的一则报道。
障眼法之免费骗局与木马病毒
Pokemon Go 游戏在全球引发了一场抓捕小精灵的热潮,尽管只在部分地区发布,但这款游戏却在不到一周的时间内获得了超过百万次的安装量。Pokemon Go 的火爆现象同时也吸引了网络罪犯的注意。
原文第一部分讲到网络罪犯诱导玩家一步步输入信息进行身份验证,然后分享一些资讯来获取该游戏中的虚拟货币,当然,骗子不会真的免费给到你。
关于木马版本,由于当时该应用只在美国、澳大利亚和新西兰上市,没有正式开放大多数地区和国家,这就促使 Android 设备或者越狱版 iPhone 使用者寻找非官方渠道来下载该游戏。网络罪犯们也就抓住了使用者的需求,针对 Android 设备开发了木马版本,并发布在多个下载网站与游戏论坛。当安装这个伪装成 Pokemon Go 的应用时,玩家们看到的页面并没有异样,但是攻击者已经获得了使用者手机的权限。
安小妹编辑整理
摘自台湾 T 客邦
小编有话说:
网络犯罪们之所以能够轻轻松松的利用原版本的 Pokemon Go 开发出对应的木马版本,是因为当前 Android 平台二次打包技术成本非常低,一般的应用并不具备防止二次打包、防止源码泄漏、原包完整性校验的能力。
国内现状-你是否还在给他人做嫁衣?
风靡老少的某单机游戏,搜一搜可见:
火热的游戏少不了被破解,那么冷门的 APP 应用呢?是不是就不存在安全问题了?来看一位程序员在知乎上的提问
针对以上安全威胁,网民如何应对,程序员们又该该怎么办?尤其没有专业安全防护经验的网民与程序员们。
腾讯安全专家建议
网民如何应对?
1>不贪图小便宜、不轻信优惠信息点击诱导链接;
2>养成识别软件来源与查看下载数与评论内容的习惯,增强安全防范意识;
3>不在非官方渠道下载;
开发者如何见招拆招?
首先反观本次 Pokemon Go 被恶意破解利用的情况:
1>网络罪犯利用反编译工具轻松窃取 Pokemon Go 源代码;
2>在源码中植入恶意木马程序;
3> 最后将它重新打包发布到各个渠道;
为了有效捍卫应用开发者利益,将损失遏止在源头,腾讯云旗下的移动应用安全服务-乐固(LEGU)提供了应用加固这项保护措施来防止应用被盗版破解:
>应用加固
1>保护应用源码和核心算法安全
2>防止二次打包,阻止盗版
3>防止木马、外挂等窃取密码等敏感数据
除上述之外,乐固还拥有多个安全方面的措施,本期暂时介绍这么多。在移动 APP 安全方面,网民与开发者们还将遇到怎样的问题?看到这里的你又遇到过什么问题?欢迎留言告诉小编,我们一起与腾讯移动安全专家探讨。
乐固系列第一次与大家见面,对我们「移动 APP 安全揭秘第一期」满意度如何?下期期待什么样的内容?小编耐心听你说。