移動應用存在惡意吸費、竊取隱私、推送廣告等不良行為已經不是什么新鮮事了,不過網民們的口誅筆伐,其實很大一部分是移動應用的開發者替別人背了黑鍋,可能連開發者自己都不知道,自己開發的移動應用在做著這樣的事情。因為很多情況下開發者開發的移動應用被不法分子所破解,加入了惡意代碼,導致了上述問題的出現。
那么現在移動互聯網應用的破解、篡改情況到底發展到哪種程度了? 中國軟件評測中心(CSTC)依托自主研發的中國移動互聯網可信應用平臺,對我國移動互聯網應用軟件開展了移動應用分銷渠道的監測工作。截至2013年7月31日,通過對412個渠道,4250023個應用軟件進行監測,中國軟件評測中心發現其中近1730145個應用軟件遭到篡改,移動應用被篡改的比例高達40%以上。如此高的篡改比例,用“盜版猖獗”來形容,已經不為過了。
那么,移動應用開發者如何保證自己研發的應用不被他人所篡改?針對上述問題,中國移動互聯網可信應用平臺為用戶提供了安全加固的服務, 利用四重防護技術增強應用的安全性,有效抵御反編譯、篡改、動態調試以及隱私數據竊取等惡意行為。
反編譯保護
通過對應用的二進制代碼進行安全加密,避免攻擊者對應用代碼進行反編譯,防止利用代碼邏輯注入惡意代碼、竊取隱私信息、插入吸費代碼等。
篡改保護
對移動應用軟件進行完整性保護,包括對應用代碼進行加密,啟動時校驗安裝包內所有文件的數據完整性,并從系統底層對內存數據進行動態保護。
動態調試保護
實時保護運行中的應用程序不被動態調試、注入代碼等,避免盜竊賬號密碼、修改交易金額等惡意行為。
數據存儲保護
對應用程序保存在存儲介質上的數據內容進行透明加密,防止私密信息被泄露或篡改,運行時的加解密過程對原程序邏輯沒有任何影響。
那開發者又如何得知自己的應用是否被篡改,篡改的應用又被發布在哪些渠道上呢?中國移動互聯網可信應用平臺提供的渠道監測服務,就能解決上述的問題。渠道監測服務負責監控特定應用在各下載渠道的狀況,包括篡改比例、篡改版本、發布來源、發布時間、下載量、危害分析等,如圖1所示。目前中國移動互聯網可信應用平臺的監控引擎覆蓋400多個在線渠道,范圍包括應用商店、下載站、論壇等。
渠道監測服務
渠道監測服務采用監控爬蟲和數據分析技術實現:
監控爬蟲從400多個全面監控的主流渠道中,實時抓取目標站點的所有應用信息,并分布式下載應用安裝包,存入可信應用平臺的存儲設備。監控爬蟲在全球部署了大量下載節點,能夠及時跟蹤各渠道的更新動態。
數據分析從存儲設備中讀取移動應用數據并進行分析。當需要監控某移動應用時,只需提交該應用包名。數據分析子系統將自動調用數據分析引擎,識別該移動應用在所有監控渠道中出現的病毒版本、盜版版本、漢化版本等,并根據統計數據及分析結果生成該應用的監控報告。
從以上論述可以看出,中國移動互聯網可信應用平臺的安全加固,并配合渠道監測功能,基本可以遏制移動應用盜版篡改的猖獗,首先不法分子很難破解經過加固的應用;其次,即使應用被破解,開發者也通過中國移動互聯網可信應用平臺的渠道監測功能在盜版應用發布的第一時間得知,并采取相應措施;最后,被重新打包過的應用也無法通過安全檢測而進入安卓市場,從而保證開發者研發的應用的“清白”,最大程度地維護用戶和開發者的利益。
京公網安備 11010502049343號