固若金汤:给你的应用加上保护伞

速途网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

  近几年,移动互联网行业取得了迅猛发展,智能手机的不断推陈出新吸引了越来越多消费者的目光。美国信息技术咨询与研究公司Gartner证实,全球智能手机出货量在2013年第二季度已超过了功能手机。IDC发布的数据显示,今年第二季度,安卓手机在全球智能手机市场的占有率从去年同期的69.1%攀升至79.3%,而苹果手机则从16.6%下滑至13.2%。智能手机手机的热销带动了应用开发者的积极性,Google官方市场的应用总数已于2012年底追平了苹果的70万,并率先突破百万大关。

  安卓手机应用程序易被篡改

  然而,应用市场蓬勃发展的景象同样引起了不法分子的强烈兴趣,很多优质应用一上线立即就涌现出各种打着破解版、汉化版、无限制版旗号的篡改版本。它们有的被植入广告,攫取本该属于开发者的分成,有的捆绑病毒木马,盗窃消费者的帐号密码等私密信息,有的甚至会直接将用户的手机变成可以远程操控的“肉机”,随时接受指令、上传用户隐私,而缺乏经验的用户往往会把罪责加到原版应用作者的头上。

  为什么安卓应用这么容易被篡改呢?

  首先,安卓系统虽然也要求应用软件经过数字签名后才能安装,但这个签名不需要通过可信机构认可,它可以用来比较应用来源的异同,但无法追溯到开发者的真实身份。事实上,任何人都可以任意对一个应用进行签名,签名后的应用能够安装在所有安卓设备上。因此,不法分子也就可以删除安卓应用的原始签名,经过代码篡改后再加上自己生成的签名,达到鱼目混珠的目的。

  其次,安卓应用主要使用Java编程语言开发,编译结果为字节码,运行在Google自主定义的Dalvik虚拟机上。与C、C++程序编译得到的机器代码相比,Dalvik字节码包含丰富的对象类型信息,能够非常精确地反汇编得到虚拟机指令代码,甚至能较为准确地直接反编译为Java源代码。所以,安卓应用的逻辑结构容易被逆向分析,如果对Dalvik指令集有一定掌握,也很容易修改原有逻辑,或者插入第三方代码。

  应用加固服务保障消费者利益

  针对国内安卓市场的混乱局面,中国软件评测中心(www.cstc.org.cn)开发了中国移动互联网可信应用平台,能够提供安卓应用的安全加固服务。用户只需要提交开发完成的安装包,平台通过审核后将自动生成加固好的安装包,不需要用户修改源代码或进行其他额外操作。加固服务为原应用提供了一个安全可控的运行环境,应用代码不直接运行在安卓系统上,而是运行在这个安全的“壳”里。加固采用四重防护技术来增强应用的安全性,能够有效抵御反编译、篡改、动态调试以及隐私数据窃取等恶意行为,为应用软件撑起牢不可破的保护伞。

  第一重:反编译保护。加固服务对原应用的二进制代码进行了完全加密,在程序启动后再进行解密、加载和执行。不法分子只能对“壳”的入口代码进行有限的分析,无法直接触碰应用代码。

  第二重:篡改保护。“壳”在程序启动后将对应用进行无微不至的保护。进行加固时会记录应用包含的所有文件的信息摘要,“壳”启动后会校验所有文件是否完好无损,如果发现不匹配项则直接退出程序。因此,不法分子就难以篡改应用逻辑、植入广告或恶意代码,应用软件可以避免被移花接木的危险。

  第三重:动态调试保护。“壳”还会在运行过程中实时保护应用程序,在检测到其它进程试图窥探其内部状态时也将立即退出,防止了通过动态调试、代码注入等技术手段进行盗窃账号密码、修改交易金额等恶意行为。

  第四重:数据存储保护。“壳”会对应用程序保存在存储介质上的数据进行透明加密处理,其他程序能够直接读到的只是无意义的加密数据,杜绝了私密信息被泄露或篡改。运行在“壳”内的原应用看到的则是经过实时解密的明文数据,不会对执行逻辑造成任何影响。

  由上可见,应用加固服务能够为移动应用提供便捷有效的完整性保护和运行时校验,从而保障开发者的应得利益,维护消费者的隐私安全。此外,中国移动互联网可信应用平台还提供移动应用的安全检测、安全评估、渠道监测等多种安全服务,为移动互联网的健康发展保驾护航。

【想看更多互联网新闻和深度报道请关注速途网官方微信。(微信号:速途网)】

随意打赏

提交建议
微信扫一扫,分享给好友吧。