[移动 APP 安全揭秘]第一期——泛滥的盗版

这些场景是否似曾相识

我流量刷刷刷的没了；

这APP太恶心了，老弹广告；

怎么又乱扣我话费了；

怎么手机那么卡啊，好慢，不会是中木马病毒了吧？

...

网友

吐槽

开发者

吐苦水

投入数百万打造的APP结果被无数盗版淹没在应用市场；

盗版用户体验极差，

直接影响品牌口碑；

被植入病毒木马后，

我们的真实粉丝造财产损失；

用户财产损失后投诉我们，

直接影响品牌口碑。

移动互联网时代，移动 APP 已经渗透进大家生活点点滴滴，聊天、游戏、购物、娱乐、出行...这些 APP 由程序员们辛苦开发，一方面让用户使用方便与舒适且不受损失，另一方面还要保障企业品牌与利益，但盗版如洪水般泛滥，影响全球数以万计的 APP 应用。

据统计，国内应用盗版情况相当严重。比如游戏类应用，超过90%存在盗版情况，且热门游戏平均每款盗版量超过150个，其中超过30%植入了恶意扣费代码，严重侵害用户的权益，这些归根结底都称之为安全问题。

那么陷阱究竟是如何一步步引导网民踏进去的呢？我们一起来看中国台湾媒体的一则报道。

        障眼法之        

免费骗局与木马病毒

Pokemon Go 游戏在全球引发了一场抓捕小精灵的热潮，尽管只在部分地区发布，但这款游戏却在不到一周的时间内获得了超过百万次的安装量。Pokemon Go 的火爆现象同时也吸引了网络罪犯的注意。

原文第一部分讲到网络罪犯诱导玩家一步步输入信息进行身份验证，然后分享一些资讯来获取该游戏中的虚拟货币，当然，骗子不会真的免费给到你。

关于木马版本，由于当时该应用只在美国、澳大利亚和新西兰上市，没有正式开放大多数地区和国家，这就促使 Android 设备或者越狱版 iPhone 使用者寻找非官方渠道来下载该游戏。网络罪犯们也就抓住了使用者的需求，针对 Android 设备开发了木马版本，并发布在多个下载网站与游戏论坛。当安装这个伪装成 Pokemon Go 的应用时，玩家们看到的页面并没有异样，但是攻击者已经获得了使用者手机的权限。

安小妹编辑整理

摘自中国台湾 T 客邦

安小妹有话说：

网络犯罪们之所以能够轻轻松松的利用原版本的 Pokemon Go 开发出对应的木马版本，是因为当前 Android 平台二次打包技术成本非常低，一般的应用并不具备防止二次打包、防止源码泄漏、原包完整性校验的能力。

             国内现状             

你是否还在给他人做嫁衣？

风靡老少的某单机游戏，搜一搜可见：

火热的游戏少不了被破解，那么冷门的 APP 应用呢？是不是就不存在安全问题了？来看一位程序员在知乎上的提问

针对以上安全威胁，网民如何应对，程序员们又该该怎么办？尤其没有专业安全防护经验的网民与程序员们。

腾讯安全专家建议

网民如何应对？

• 不贪图小便宜、不轻信优惠信息点击诱导链接；
• 养成识别软件来源与查看下载数与评论内容的习惯，增强安全防范意识；
• 不在非官方渠道下载；

开发者如何见招拆招？

首先反观本次 Pokemon Go 被恶意破解利用的情况：

1>网络罪犯利用反编译工具轻松窃取 Pokemon Go 源代码；

2>在源码中植入恶意木马程序；

3> 最后将它重新打包发布到各个渠道；

为了有效捍卫应用开发者利益，将损失遏止在源头，腾讯云旗下的移动应用安全服务-乐固（LEGU）提供了应用加固这项保护措施来防止应用被盗版破解： >应用加固 1、保护应用源码和核心算法安全 2、防止二次打包，阻止盗版 3、防止木马、外挂等窃取密码等敏感数据

除上述之外，乐固还拥有多个安全方面的措施，本期暂时介绍这么多。在移动 APP 安全方面，网民与开发者们还将遇到怎样的问题？看到这里的你又遇到过什么问题？欢迎留言给安小妹，我们一起与腾讯移动安全专家探讨。

乐固系列第一次与大家见面，对我们「移动 APP 安全揭秘第一期」满意度如何？下期期待什么样的内容？安小妹耐心听你说。