当这个满头包的秃子承认脑袋上确有一个虱子

【天极网IT新闻频道】最近安全圈大新闻大概就是下面这个了

于是各大安全厂商的表演开始

当然易安睿龙也不能免俗

热闹不过两天，相信这一波关注会很快过去，但这个漏洞暴漏出来的问题是升级一下系统，修正下APP程序签名，打一两个补丁，更新一下防毒码就能解决的吗？

哪些安卓版本受到影响呢？

让我们再看看这几个货的市场占有率

高达79.8%安卓用户受到影响，主流的安卓应用无一幸免。

这个漏洞的特点是APP可以被黑客任意修改而不被发现。那么黑客利用这一点会干什么呢？插入代码吸费，打广告，骗流量？凡是这么干的黑客只能是赚点小钱，相信有能力利用这个漏洞的大部分黑客都有中上的技术水准，一般应该不屑于此。

那么怎么利用这个漏洞呢？上上策是通过插入代码的形式来渗透服务器，因为企业的网络安全系统不得不在安全和性能之间找平衡，所以通常企业的安全策略是对自己的应用不设防。因此，其安全设备在判断出是自己的APP发起的链接请求后，基本都不再做这部分请求的流量过滤了。资深的黑客怎么会放过这么好的入侵口子，直接改了APP，想办法在获取企业的核心数据后悄悄地在企业服务器上种几个木马，再利用企业政策剪剪羊毛，拉取企业服务器程序和数据瞬间copy个一样的应用出来。大数据时代，黑客不要赚的太爽!

差一点的，可以修改APP的banner等醒目位置，打上自己的广告，然后想办法大面积散出去。用着别人的服务给自己赚着流量和广告，躺着就能赚钱，黑客做梦都要笑醒了。至于把首页改成**大法好这类的，黑客要么收了海外某些势力的钱，要么就是受雇于某个敌对公司，真的想搞死这个APP所属的企业。

最次的，黑客会利用修改过的APP发动DDOS攻击，偶尔用来炫技或要挟看得上的网络服务运营商，说起来哥也是有几万肉鸡的人，就凭这句话，身价立刻6位数起。还有真的透过某些APP去获取用户的root权限的黑客，获得权限以后便会立刻隐藏起来，绝不会动机主的钱。至于机主的身份信息、银行密码等等，那是肯定没有办法幸免了，但是如果不是特别急用，黑客一般很珍惜自己已经拥有root权限的肉鸡，绝不想轻易引起机主的警觉。

综上，事实上直接受损的是APP的所有者和运营者，黑客通过倒卖服务器数据等方式对广大APP使用者造成损害，而使用者没有直接的感知，也不会加以关注。近年频发的大规模数据泄露事件，就是由于被攻击方式极少见诸报端，不能引发大众的思考及关注。然而就算漏洞被堵住了，由此泄露的数据已成定局，由此被挂码的服务器依旧被控制。

所以，不管是直接受损的企业还是间接受损的吃瓜群众，刀口还在，血仍在流。

其实这类漏洞就是秃子头顶的虱子明摆着的，而且不止一只，而是一群，只是刚刚被秃子承认了一个而已。

这个漏洞可以直接伪造更新包，受影响的用户和应用多不胜数，谷歌怎么可能在长达三年的时间里一无所觉？不是不知道，只是不能说而已。在没有更好的解决方案之前，如果谷歌说了，谁还敢用安卓？

虽然Janus漏洞被指了出来，但类似的虱子还有很多。Janus拥有可以“绕过签名”的技术，可“伪造签名”的办法根本不需要去绕，黑客只需自己注册个公司申请签名，修改APP后，留下自己公司签名就好了，毕竟没有多少人会在安装微信后再回头看自己安装的微信程序签名是不是腾讯公司的。即便会看，也未必能发现其中的差异。不信，来咱们玩个大家来找茬，注意别眼花。

来，亲，现在请告诉我，上图中哪个facebook是真的？哪些是是黑客仿冒的？相信大部分人都不能保证100%选对，现在知道谷歌这个秃子为什么不得不拎出来一个虱子了吧？

这些问题就是开放性平台如windows·linux和安卓的顽疾，是打娘胎里带出来的，苹果越狱以后也是一样。

通过这次漏洞，警钟再一次高亢的鸣响，就像我们易安睿龙一直在向大众传递的那样：在我们在现有网络安全体系里，为了自由度，为了大厂家的利益，为了快速扩散，我们已经无视了太多对应用程序安全的保护。在移动应用基本普及的今天，忽视程序安全对企业、对用户的损害正在毁掉我们现在的应用环境。

这也重点说明了在互联网这个零信任环境里，仅靠签名技术和应用加固、代码混淆之类的传统攻防手段是远远不够的。

虱子已经逮住了一只，但真正解决这个问题，必须要全世界所有的APP开发者和运营者像重视身份认证一样重视程序认证，全世界的APP使用者像认可身份认证一样认可程序认证，每一次APP在连接到服务器之前都经过一次针对程序的认证，确定程序没有被篡改后才建立连接，并且认证过程所用的算法要是动态的，这样才能保证认证过程是黑客难以复制和仿冒的。只有这样，才是追本溯源的从根源解决问题，才是针对互联网这个零信任环境下负责任的移动应用安全解决方案。

易安睿龙的ACR产品应运而生，融合了应用商店、应用校验、应用修复、应用准入、问题回溯等多个功能在一个综合控管平台管理，并可以同CA身份认证系统和VPN系统联动构成立体防御。其中：

。企业应用商店实现企业应用生命周期管理，帮助企业构建安全的移动应用管理体系;

。应用校验保障了企业接入APP的安全性;

。应用修复保障了企业应用的连续性;

。应用准入帮助企业构建统一的移动应用接入规范和标准;

。问题样本回传使企业可开展问题定位分析，指导APP开发规范的进一步增强;

。开放性API可以帮助企业构建以业务为核心的统一的立体化安全防护机制。

同时，该产品具有自主知识产权的“鸡尾酒算法”，实现了：

。校验码一机器一次一密码;

。正确的校验码永远只存在于服务器;

。校验流程要求在线校验;

。通信要求基于TLS1.2加密

在这种强安全性的保证下，除非黑客攻破位于数据中心内的ACR服务器的同时，又反编译了包括ACR client端的全部APP客户端，以及TLS 1.2加密算法。否则，是无法对企业的数据和形象造成任何影响的，反而会因为尝试反编译企业APP而被企业感知到并进行针对性处理。

虽然让全世界的应用开发者立刻实现应用程序动态认证是不现实的，但易安睿龙正在朝着这个方向努力。

易安睿龙上线ACR2.0 SaaS版，可免费为全球的开发者提供应用校验功能，并且其它的收费功能也采用了非常友好的“伴你成长”定价策略。对用户数量少的应用只做象征性收费或免费，对用户数量大的应用采取正常收费。我们竭尽所能帮助全世界所有的APP开发者和运营者成为“更被广大用户信任的开发者和运营者”。

北京易安睿龙科技有限公司(http://www.yundragon.com)，2013年创建，是业界领先的移动应用安全领导厂商， 致力于开发、推广以ACR为核心的企业移动应用安全解决方案。以独 创的专利技术，帮助用户实现动态安全边界、端到端应用安全防护，有效管控BYOD风 险。

欲了解更多内容，请关注易安睿龙公众号，或向market@yundragon.com索取资料。