-
-
爱加密分析:APP二次打包的危害与防止方法
-
发表于: 2014-2-28 19:31 2542
-
原文链接:https://ijiami.cn/newsInfo?id=237&v=0
发布时间:2014-02-18
安卓的开源在带来重大利益的同时,也带来了隐患,Andriod App 安全问题日益凸显,最常见的就是App盗版或者说是二次打包,下面小编来简单说下其危害与防止方法。
据某知名移动安全实验室检测,遭遇二次打包的知名支付类APP有支付宝钱包、财付通、360支付保镖。团购类APP有艺龙旅行、美团团购、携程旅行等。还有京东、当当网、淘宝、1号店、中粮我买网、天猫、乐峰网等也遭遇打包党觊觎。APP二次打包的危害涉及到开发者、用户、市场等许多方面。用户是第一受害者,其中包括APP被反编译后植入扣费代码,造成用户经济损失;APP被加入广告SDK,导致应用整体用户体验下降;APP被注入恶意代码,个人数据被非法盗取等不同程度的危害。开发者是主要利益受害者,APP被破解后,很多收费应用被改为免费,例如道具和装备免费,积分和金币自动上调等。这对于一款投入大量人力财力的游戏公司或团队来说是很大的打击,很有可能造成一个创业团队的覆灭;APP一旦源码被反编译后,核心代码被窃取,团队竞争力下降;APP被植入不法分子的广告或扣费代码后,即便开发团队及时更新或采取措施,仍然对游戏或应用的品牌造成了不可估量的影响,增加了后期推广和用户认可的难度。第三方应用市场是品牌受害者,根据报告可以看到多个知名市场都含有类似的恶意程序,这对第三方应用市场的品牌造成了很大的影响。
为应对APP二次打包的情况,开发者也做出了一些保护措施,但是常规的APP加密安全保护措施并没有起到太多的作用。比如最常用的签名保护,如果源码很容易被破解,打包者完全可以在破解源代码时找到签名协议,然后去掉;还有常说的在服务器端做了很完善的安全保护,就认为很安全了,其实由于客户端未做保护,打包者依然可以通过分析客户端与服务器的交互协议找到破解方法。鉴于此,很多开发者都选择了比较安全的第三方加密服务。据了解,国内首家亦是全球首家免费APP加密平台服务----爱加密成为众多开发者的心头好,爱加密的加密保护是通过对APP源码进行加密,打包者即使破解了APP,也无法看到源码,更无法运行源码,这样就保护了APP安全。据悉,经开发者验证,爱加密的加密服务没有加入任何SDK,也不会影响运行效率,开发者可以在爱加密官网注册体验。
发布时间:2014-02-18
安卓的开源在带来重大利益的同时,也带来了隐患,Andriod App 安全问题日益凸显,最常见的就是App盗版或者说是二次打包,下面小编来简单说下其危害与防止方法。
据某知名移动安全实验室检测,遭遇二次打包的知名支付类APP有支付宝钱包、财付通、360支付保镖。团购类APP有艺龙旅行、美团团购、携程旅行等。还有京东、当当网、淘宝、1号店、中粮我买网、天猫、乐峰网等也遭遇打包党觊觎。APP二次打包的危害涉及到开发者、用户、市场等许多方面。用户是第一受害者,其中包括APP被反编译后植入扣费代码,造成用户经济损失;APP被加入广告SDK,导致应用整体用户体验下降;APP被注入恶意代码,个人数据被非法盗取等不同程度的危害。开发者是主要利益受害者,APP被破解后,很多收费应用被改为免费,例如道具和装备免费,积分和金币自动上调等。这对于一款投入大量人力财力的游戏公司或团队来说是很大的打击,很有可能造成一个创业团队的覆灭;APP一旦源码被反编译后,核心代码被窃取,团队竞争力下降;APP被植入不法分子的广告或扣费代码后,即便开发团队及时更新或采取措施,仍然对游戏或应用的品牌造成了不可估量的影响,增加了后期推广和用户认可的难度。第三方应用市场是品牌受害者,根据报告可以看到多个知名市场都含有类似的恶意程序,这对第三方应用市场的品牌造成了很大的影响。
为应对APP二次打包的情况,开发者也做出了一些保护措施,但是常规的APP加密安全保护措施并没有起到太多的作用。比如最常用的签名保护,如果源码很容易被破解,打包者完全可以在破解源代码时找到签名协议,然后去掉;还有常说的在服务器端做了很完善的安全保护,就认为很安全了,其实由于客户端未做保护,打包者依然可以通过分析客户端与服务器的交互协议找到破解方法。鉴于此,很多开发者都选择了比较安全的第三方加密服务。据了解,国内首家亦是全球首家免费APP加密平台服务----爱加密成为众多开发者的心头好,爱加密的加密保护是通过对APP源码进行加密,打包者即使破解了APP,也无法看到源码,更无法运行源码,这样就保护了APP安全。据悉,经开发者验证,爱加密的加密服务没有加入任何SDK,也不会影响运行效率,开发者可以在爱加密官网注册体验。
赞赏
看原图
赞赏
雪币:
留言: