山寨APP層出不窮，通付盾云渠道監(jiān)測(cè)服務(wù)幫您守住安全底線

 

大數(shù)據(jù)時(shí)代，移動(dòng)應(yīng)用數(shù)量快速增長(zhǎng)、應(yīng)用領(lǐng)域也廣泛擴(kuò)展。據(jù)工信部統(tǒng)計(jì)，截至2021年4月底，我國(guó)國(guó)內(nèi)市場(chǎng)上監(jiān)測(cè)到的App數(shù)量突破302萬(wàn)款。隨之而來(lái)的移動(dòng)應(yīng)用盜版情況日益突出，一些披著“官方App”外衣的盜版山寨App也層出不窮，它們“肆意作亂”，危害著用戶信息安全、財(cái)產(chǎn)安全。

在某應(yīng)用商店上搜索“12306”，發(fā)現(xiàn)一大批類似應(yīng)用，這些App不僅名字類似、圖標(biāo)、顏色也大同小異，下載量從幾萬(wàn)到幾十萬(wàn)、幾百萬(wàn)、上千萬(wàn)。

圖1 類似12306火車票應(yīng)用

高仿、山寨、盜版這些詞我們并不陌生，幾年前就有各種盜版，盜版App絕不是個(gè)例。再看一個(gè)例子，搜索“12123”查詢違章應(yīng)用，結(jié)果又是一推類似應(yīng)用，你能正確辨別真?zhèn)螁幔?/span>

圖2 類似12123應(yīng)用

現(xiàn)在的盜版 App已經(jīng)深入到各行各業(yè)，據(jù)國(guó)家互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)分析技術(shù)平臺(tái)發(fā)布的監(jiān)測(cè)數(shù)據(jù)，截至2020年2月底，發(fā)現(xiàn)互聯(lián)網(wǎng)金融盜版網(wǎng)站4.81萬(wàn)個(gè)，受害用戶達(dá)12萬(wàn)人次，互聯(lián)網(wǎng)金融盜版App2801個(gè)，盜版APP下載量3343.7萬(wàn)次。

盜版App已然形成了一套完整的產(chǎn)業(yè)鏈，這些App是怎么來(lái)的？大家可能普遍認(rèn)為開(kāi)發(fā)一款盜版App成本很高，但當(dāng)你打開(kāi)某寶搜索“App定制”，就會(huì)明白定制一款A(yù)pp竟是如此簡(jiǎn)單。

圖3 定制App

這些定制App的店鋪，只用告訴他App的類型、所需功能，他們就能幫你找到一款合適的成品App ，價(jià)格只要幾千塊，高仿定制App僅需要2、3萬(wàn)。以上定制高仿App的方式還是需要成本的，如果您的App沒(méi)有經(jīng)過(guò)合適的安全保護(hù)，通過(guò)逆向技術(shù)手段，只需要簡(jiǎn)單幾個(gè)步驟就能篡改您的App，二次打包后在應(yīng)用市場(chǎng)上架。原包反編譯—>篡改代碼（加入自己的元素）—>生成新的安裝包—>重新簽名—>上架運(yùn)行，App可謂是分分鐘被盜版。記得幾年前，有一群人專門(mén)將國(guó)外應(yīng)用市場(chǎng)的App下載下來(lái)，通過(guò)逆向二次打包將廣告插件加入到App中，在國(guó)內(nèi)各大應(yīng)用商店上架，賺取了大額的廣告費(fèi)用。

事實(shí)上不僅僅是存在定制App的店鋪，為了騙取用戶信任并下載，很多盜版App還會(huì)在上架后刷下載量、評(píng)分及評(píng)論，因此也存在著大量刷評(píng)分、下載量的店鋪和專業(yè)團(tuán)隊(duì)。

圖4 App刷評(píng)論

盜版App產(chǎn)業(yè)的水太深了，盜版App背后的灰色產(chǎn)業(yè)鏈非常成熟。盜版App不僅給最終用戶帶來(lái)了傷害，也給App企業(yè)開(kāi)發(fā)者帶來(lái)了極大的損失。作為企業(yè)開(kāi)發(fā)者該如何防止自己的App被盜版呢？目前市場(chǎng)App加固技術(shù)已經(jīng)非常成熟，加固技術(shù)可以保護(hù)App不被逆向，通過(guò)逆向二次打包的方式盜版一個(gè)App已不太可能，但通過(guò)找專業(yè)團(tuán)隊(duì)定制高仿App的方式簡(jiǎn)單又方便，針對(duì)這種現(xiàn)狀，通付盾北斗團(tuán)隊(duì)建議在盜版App監(jiān)測(cè)上投入時(shí)間，監(jiān)測(cè)到盜版App及時(shí)進(jìn)行下架處理，盡可能減少損失。下文重點(diǎn)描述如何在市場(chǎng)上監(jiān)測(cè)盜版APP。

一般盜版APP與正規(guī)APP的名稱、圖標(biāo)以及功能體驗(yàn)等都十分相近，大多數(shù)用戶很難辨別。同時(shí)國(guó)內(nèi)存在幾十個(gè)應(yīng)用商店，再加上各類論壇、小網(wǎng)站、非法盜版網(wǎng)站，App的分發(fā)渠道眾多，還有很大一部分盜版App在國(guó)外，盜版App的監(jiān)測(cè)難上加難。目前就算發(fā)現(xiàn)了盜版 App，也難以處置，在正規(guī)應(yīng)用商店上發(fā)現(xiàn)的盜版App處理下架還算容易，如果是自己建立的分發(fā)渠道，要下架處置就不容易了。

基于以上難題，盜版App監(jiān)測(cè)需要依賴自動(dòng)化掃描程序24小時(shí)不間斷掃描各類應(yīng)用商店、分發(fā)渠道，監(jiān)測(cè)是否出現(xiàn)同名稱、同包名、圖標(biāo)相似、功能相似App,最關(guān)鍵的是檢測(cè)開(kāi)發(fā)者證書(shū)指紋是否與正版App開(kāi)發(fā)者證書(shū)指紋一致，若指紋不一致，但同名稱、同包名這一定是個(gè)盜版App, 這也是最有效的判定方式，詳細(xì)原理將在下文中介紹。下表列出了國(guó)內(nèi)常見(jiàn)的應(yīng)用分發(fā)渠道。

序號(hào)市場(chǎng)名稱序號(hào)市場(chǎng)名稱

1360手機(jī)助手13當(dāng)易網(wǎng)

2PC6安卓網(wǎng)14搜狗應(yīng)用商店

3ZOL中關(guān)村在線15極光下載站

4樂(lè)游網(wǎng)16百度手機(jī)助手

5優(yōu)游網(wǎng)17綠茶軟件園

6歷趣應(yīng)用市場(chǎng)18騰牛安卓網(wǎng)

7多特軟件站19騰訊應(yīng)用寶

8安智應(yīng)用市場(chǎng)20豌豆莢

9安粉絲手游網(wǎng)21酷安應(yīng)用市場(chǎng)

10小米應(yīng)用市場(chǎng)22魅族應(yīng)用商店

112345手機(jī)助手23華為應(yīng)用市場(chǎng)

12應(yīng)用匯

表1 常見(jiàn)應(yīng)用分發(fā)渠道

要理解如何正確判斷App是否為盜版，需要先理解一個(gè)正規(guī)App發(fā)布上架前要做好哪些準(zhǔn)備。

Android App以它的包名(packageName)作為唯一標(biāo)識(shí)，如果在同一部手機(jī)上安裝兩個(gè)包名相同的App，后者就會(huì)覆蓋前面安裝的應(yīng)用。為了避免Android App被隨意覆蓋，Android要求對(duì)App進(jìn)行簽名。Android系統(tǒng)也不允許安裝一個(gè)未被簽名的App，這一點(diǎn)很重要，App簽名的過(guò)程實(shí)際上也是開(kāi)發(fā)者在證明這個(gè)App是我開(kāi)發(fā)的（雖然有被二次簽名的風(fēng)險(xiǎn)，本文先不討論這類情況）。

Android使用Java數(shù)字證書(shū)相關(guān)的機(jī)制來(lái)給App加蓋數(shù)字證書(shū)，數(shù)字證書(shū)的私鑰則保留在App開(kāi)發(fā)者手中，數(shù)字證書(shū)的公鑰以及簽名信息、證書(shū)指紋被打包進(jìn)了App中。重點(diǎn)來(lái)了，證書(shū)指紋是判斷盜版的關(guān)鍵依據(jù)，證書(shū)指紋在數(shù)字證書(shū)生成的時(shí)候就被確定，同時(shí)經(jīng)過(guò)證書(shū)私鑰簽名，私鑰被保留在App開(kāi)發(fā)者手中，因此想要偽造App中的證書(shū)指紋幾乎是不可能的。

實(shí)際上App的簽名過(guò)程就是PKI技術(shù)的應(yīng)用，App大致簽名原理如下。

1.計(jì)算App安裝包（Apk）中數(shù)據(jù)文件，形成信息摘要。

圖5 形成信息摘要

2.利用證書(shū)私鑰對(duì)信息摘要簽名。

圖6 數(shù)字簽名

3.將數(shù)字簽名、證書(shū)公鑰信息、證書(shū)指紋附在Apk文件中,證書(shū)私鑰保留在開(kāi)發(fā)者手中。

圖7  完成簽名

App完成簽名后就能正常發(fā)布到應(yīng)用市場(chǎng)，供用戶下載安裝。手機(jī)安裝時(shí)會(huì)對(duì)App各類簽名信息、證書(shū)信息逐一進(jìn)行驗(yàn)證，沒(méi)有被篡改或破壞則安裝成功。

結(jié)論：App的包名和證書(shū)指紋能唯一確定一款A(yù)pp。

通過(guò)上文核心原理介紹，不難理解App盜版監(jiān)測(cè)的核心就是App證書(shū)指紋、App應(yīng)用名稱、App包名的比對(duì)驗(yàn)證,其中App證書(shū)指紋起關(guān)鍵性作用，再借助自動(dòng)化掃描程序24小時(shí)不間斷掃描全網(wǎng)各類應(yīng)用商店、分發(fā)渠道就能完成App渠道監(jiān)測(cè)任務(wù)。下表給出了盜版、相似應(yīng)用的判斷邏輯。

簽名指紋相同包名相同名稱相同結(jié)論

√×√相關(guān)應(yīng)用

√√×相關(guān)應(yīng)用

√√√正版

√××無(wú)關(guān)應(yīng)用

×√√盜版

×√×盜版

××√盜版\相同行業(yè)應(yīng)用

×××無(wú)關(guān)應(yīng)用

表2 盜版、相似應(yīng)用的判斷邏輯

通付盾云渠道監(jiān)測(cè)覆蓋超過(guò)500家應(yīng)用發(fā)布渠道，包括第三方應(yīng)用市場(chǎng)、論壇等方式。該服務(wù)從渠道分布、應(yīng)用版本及其盜版率、下載量、盜版渠道來(lái)源等多方面對(duì)App應(yīng)用進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并對(duì)獲取的信息進(jìn)行全方位深入分析，最終將分析數(shù)據(jù)形成完備的監(jiān)測(cè)報(bào)告。開(kāi)發(fā)者可以通過(guò)通付盾云渠道監(jiān)測(cè)服務(wù)第一時(shí)間發(fā)現(xiàn)盜版應(yīng)用，針對(duì)性地進(jìn)行處置。

圖8 渠道監(jiān)測(cè)服務(wù)效果展示

近日，通付盾云對(duì)新注冊(cè)用戶提供了優(yōu)惠服務(wù)，完成注冊(cè)即能免費(fèi)享受渠道監(jiān)測(cè)服務(wù)1次及其他安全合規(guī)產(chǎn)品線安全檢測(cè)加固服務(wù)2次、灰應(yīng)用檢測(cè)服務(wù)1次。

 

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：