[移动 APP 安全揭秘]第一期——泛滥的盗版

这些场景是否似曾相识

我流量刷刷刷的没了;

这APP太恶心了,老弹广告;

怎么又乱扣我话费了;

怎么手机那么卡啊,好慢,不会是中木马病毒了吧?

...

网友

吐槽

开发者

吐苦水

投入数百万打造的APP结果被无数盗版淹没在应用市场;

盗版用户体验极差,

直接影响品牌口碑;

被植入病毒木马后,

我们的真实粉丝造财产损失;

用户财产损失后投诉我们,

直接影响品牌口碑。

移动互联网时代,移动 APP 已经渗透进大家生活点点滴滴,聊天、游戏、购物、娱乐、出行...这些 APP 由程序员们辛苦开发,一方面让用户使用方便与舒适且不受损失,另一方面还要保障企业品牌与利益,但盗版如洪水般泛滥,影响全球数以万计的 APP 应用。

据统计,国内应用盗版情况相当严重。比如游戏类应用,超过90%存在盗版情况,且热门游戏平均每款盗版量超过150个,其中超过30%植入了恶意扣费代码,严重侵害用户的权益,这些归根结底都称之为安全问题。

那么陷阱究竟是如何一步步引导网民踏进去的呢?我们一起来看台湾媒体的一则报道。

        障眼法之        

免费骗局与木马病毒

Pokemon Go 游戏在全球引发了一场抓捕小精灵的热潮,尽管只在部分地区发布,但这款游戏却在不到一周的时间内获得了超过百万次的安装量。Pokemon Go 的火爆现象同时也吸引了网络罪犯的注意。

原文第一部分讲到网络罪犯诱导玩家一步步输入信息进行身份验证,然后分享一些资讯来获取该游戏中的虚拟货币,当然,骗子不会真的免费给到你。

关于木马版本,由于当时该应用只在美国、澳大利亚和新西兰上市,没有正式开放大多数地区和国家,这就促使 Android 设备或者越狱版 iPhone 使用者寻找非官方渠道来下载该游戏。网络罪犯们也就抓住了使用者的需求,针对 Android 设备开发了木马版本,并发布在多个下载网站与游戏论坛。当安装这个伪装成 Pokemon Go 的应用时,玩家们看到的页面并没有异样,但是攻击者已经获得了使用者手机的权限。

安小妹编辑整理

摘自台湾 T 客邦

安小妹有话说:

网络犯罪们之所以能够轻轻松松的利用原版本的 Pokemon Go 开发出对应的木马版本,是因为当前 Android 平台二次打包技术成本非常低,一般的应用并不具备防止二次打包、防止源码泄漏、原包完整性校验的能力。

             国内现状             

你是否还在给他人做嫁衣?

风靡老少的某单机游戏,搜一搜可见:

火热的游戏少不了被破解,那么冷门的 APP 应用呢?是不是就不存在安全问题了?来看一位程序员在知乎上的提问

针对以上安全威胁,网民如何应对,程序员们又该该怎么办?尤其没有专业安全防护经验的网民与程序员们。

腾讯安全专家建议

网民如何应对?

  • 不贪图小便宜、不轻信优惠信息点击诱导链接;
  • 养成识别软件来源与查看下载数与评论内容的习惯,增强安全防范意识;
  • 不在非官方渠道下载;

开发者如何见招拆招?

首先反观本次 Pokemon Go 被恶意破解利用的情况:

1>网络罪犯利用反编译工具轻松窃取 Pokemon Go 源代码;

2>在源码中植入恶意木马程序;

3> 最后将它重新打包发布到各个渠道;

为了有效捍卫应用开发者利益,将损失遏止在源头,腾讯云旗下的移动应用安全服务-乐固(LEGU)提供了应用加固这项保护措施来防止应用被盗版破解: >应用加固 1、保护应用源码和核心算法安全 2、防止二次打包,阻止盗版 3、防止木马、外挂等窃取密码等敏感数据

除上述之外,乐固还拥有多个安全方面的措施,本期暂时介绍这么多。在移动 APP 安全方面,网民与开发者们还将遇到怎样的问题?看到这里的你又遇到过什么问题?欢迎留言给安小妹,我们一起与腾讯移动安全专家探讨。

乐固系列第一次与大家见面,对我们「移动 APP 安全揭秘第一期」满意度如何?下期期待什么样的内容?安小妹耐心听你说。

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2016-09-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

勒索软件公司的四种攻击方式,这让他们表现的就像合法企业一样

勒索软件 - 加密计算机上所有的数据然后要求计算机用户向其付款以解锁数据的应用程序 - 已普遍成为企业的威胁。

880
来自专栏FreeBuf

欧洲信用卡终端机仍存在严重漏洞

当美国准备转向使用“芯片和密码”模型的信用卡交易时,欧洲还在开心的使用传统的更加安全的人工方式进行交易。但是,欧洲现在的信用卡交易方式出现问题是迟早的事。 摘...

1838
来自专栏程序人生 阅读快乐

Web渗透测试:使用Kali Linux

Kali Linux是专业的渗透测试和安全审计工具,是世界上最流行的开源渗透工具包BackTrack的继任者。本书将教会读者怎样像真实的攻击者一样思考,以及理解...

922
来自专栏FreeBuf

美国一大学遭到5000余台校园物联网设备DDoS攻击

美国一大学校园网遭到DDoS攻击,大批学生表示网速慢成狗。经校方人员调查后发现,发起DDoS攻击的正是校园周围5000多台IoT(物联网)设备构成的僵尸网络。在...

1705
来自专栏FreeBuf

安全招聘中,如何招到优秀的Web渗透测试人员?

越来越多的企业招聘安全人员,然而安全人员大多草根出身,可谓鱼龙混杂。作为企业,你就必须要知道如何才能招到最优秀的Web渗透人员,而不是“职业骗子”。本文罗列了一...

2426
来自专栏域名资讯

英文、拼音齐出动:domains.net很抢眼

因国家文化差异,所以拼音域名在国内很吃香,而英文域名在海外则备受关注,这两类域名在各自的领地驰骋多年,都属于人见人爱的域名品种,近日这两类域名在市场...

1846

如何远离网络恐怖之屋

原文地址:https://www.informationsecuritybuzz.com/articles/stay-cyber-house-horrors/

671
来自专栏黑白安全

进行社会工程学攻击前,你要做的准备

如果发现对方用facebook,那么我们就赚大了,你能得到对方更多的信息,甚至能混进他的圈子里面。

601
来自专栏黑白安全

因态度诚恳 黑客决定无条件删除所窃A站数据

6月12日攻击A站的黑客在地下论坛发帖称,因A站客服态度诚恳和对二次元世界的热爱,团队决定无条件删除所窃数据库。

602
来自专栏域名资讯

域名yg.cc以10.2万元的价格结拍,可搭建“摇滚”音乐平台

近日,域名市场交易了不少精品域名,比如qrf.com、yg.cc等,其中qrf.com拍出15.4万元。

1797

扫码关注云+社区