山寨APP層出不窮，通付盾云渠道監(jiān)測服務幫您守住安全底線

大數據時代,移動應用數量快速增長、應用領域也廣泛擴展。據工信部統(tǒng)計,截至2021年4月底,我國國內市場上監(jiān)測到的App數量突破302萬款。隨之而來的移動應用盜版情況日益突出,一些披著“官方App”外衣的盜版山寨App也層出不窮,它們“肆意作亂”,危害著用戶信息安全、財產安全。

在某應用商店上搜索“12306”,發(fā)現一大批類似應用,這些App不僅名字類似、圖標、顏色也大同小異,下載量從幾萬到幾十萬、幾百萬、上千萬。

圖1 類似12306火車票應用

高仿、山寨、盜版這些詞我們并不陌生,幾年前就有各種盜版,盜版App絕不是個例。再看一個例子,搜索“12123”查詢違章應用,結果又是一推類似應用,你能正確辨別真?zhèn)螁?

圖2 類似12123應用

現在的盜版 App已經深入到各行各業(yè),據國家互聯網金融風險分析技術平臺發(fā)布的監(jiān)測數據,截至2020年2月底,發(fā)現互聯網金融盜版網站4.81萬個,受害用戶達12萬人次,互聯網金融盜版App2801個,盜版APP下載量3343.7萬次。

盜版App已然形成了一套完整的產業(yè)鏈,這些App是怎么來的?大家可能普遍認為開發(fā)一款盜版App成本很高,但當你打開某寶搜索“App定制”,就會明白定制一款App竟是如此簡單。

圖3 定制App

這些定制App的店鋪,只用告訴他App的類型、所需功能,他們就能幫你找到一款合適的成品App ,價格只要幾千塊,高仿定制App僅需要2、3萬。以上定制高仿App的方式還是需要成本的,如果您的App沒有經過合適的安全保護,通過逆向技術手段,只需要簡單幾個步驟就能篡改您的App,二次打包后在應用市場上架。原包反編譯—>篡改代碼(加入自己的元素)—>生成新的安裝包—>重新簽名—>上架運行,App可謂是分分鐘被盜版。記得幾年前,有一群人專門將國外應用市場的App下載下來,通過逆向二次打包將廣告插件加入到App中,在國內各大應用商店上架,賺取了大額的廣告費用。

事實上不僅僅是存在定制App的店鋪,為了騙取用戶信任并下載,很多盜版App還會在上架后刷下載量、評分及評論,因此也存在著大量刷評分、下載量的店鋪和專業(yè)團隊。

圖4 App刷評論

盜版App產業(yè)的水太深了,盜版App背后的灰色產業(yè)鏈非常成熟。盜版App不僅給最終用戶帶來了傷害,也給App企業(yè)開發(fā)者帶來了極大的損失。作為企業(yè)開發(fā)者該如何防止自己的App被盜版呢?目前市場App加固技術已經非常成熟,加固技術可以保護App不被逆向,通過逆向二次打包的方式盜版一個App已不太可能,但通過找專業(yè)團隊定制高仿App的方式簡單又方便,針對這種現狀,通付盾北斗團隊建議在盜版App監(jiān)測上投入時間,監(jiān)測到盜版App及時進行下架處理,盡可能減少損失。下文重點描述如何在市場上監(jiān)測盜版APP。

一般盜版APP與正規(guī)APP的名稱、圖標以及功能體驗等都十分相近,大多數用戶很難辨別。同時國內存在幾十個應用商店,再加上各類論壇、小網站、非法盜版網站,App的分發(fā)渠道眾多,還有很大一部分盜版App在國外,盜版App的監(jiān)測難上加難。目前就算發(fā)現了盜版 App,也難以處置,在正規(guī)應用商店上發(fā)現的盜版App處理下架還算容易,如果是自己建立的分發(fā)渠道,要下架處置就不容易了。

基于以上難題,盜版App監(jiān)測需要依賴自動化掃描程序24小時不間斷掃描各類應用商店、分發(fā)渠道,監(jiān)測是否出現同名稱、同包名、圖標相似、功能相似App,最關鍵的是檢測開發(fā)者證書指紋是否與正版App開發(fā)者證書指紋一致,若指紋不一致,但同名稱、同包名這一定是個盜版App, 這也是最有效的判定方式,詳細原理將在下文中介紹。下表列出了國內常見的應用分發(fā)渠道。

表1 常見應用分發(fā)渠道

要理解如何正確判斷App是否為盜版,需要先理解一個正規(guī)App發(fā)布上架前要做好哪些準備。

Android App以它的包名(packageName)作為唯一標識,如果在同一部手機上安裝兩個包名相同的App,后者就會覆蓋前面安裝的應用。為了避免Android App被隨意覆蓋,Android要求對App進行簽名。Android系統(tǒng)也不允許安裝一個未被簽名的App,這一點很重要,App簽名的過程實際上也是開發(fā)者在證明這個App是我開發(fā)的(雖然有被二次簽名的風險,本文先不討論這類情況)。

Android使用Java數字證書相關的機制來給App加蓋數字證書,數字證書的私鑰則保留在App開發(fā)者手中,數字證書的公鑰以及簽名信息、證書指紋被打包進了App中。重點來了,證書指紋是判斷盜版的關鍵依據,證書指紋在數字證書生成的時候就被確定,同時經過證書私鑰簽名,私鑰被保留在App開發(fā)者手中,因此想要偽造App中的證書指紋幾乎是不可能的。

實際上App的簽名過程就是PKI技術的應用,App大致簽名原理如下。

1.計算App安裝包(Apk)中數據文件,形成信息摘要。

圖5 形成信息摘要

2.利用證書私鑰對信息摘要簽名。

圖6 數字簽名

3.將數字簽名、證書公鑰信息、證書指紋附在Apk文件中,證書私鑰保留在開發(fā)者手中。

圖7 完成簽名

App完成簽名后就能正常發(fā)布到應用市場,供用戶下載安裝。手機安裝時會對App各類簽名信息、證書信息逐一進行驗證,沒有被篡改或破壞則安裝成功。

結論:App的包名和證書指紋能唯一確定一款App。

通過上文核心原理介紹,不難理解App盜版監(jiān)測的核心就是App證書指紋、App應用名稱、App包名的比對驗證,其中App證書指紋起關鍵性作用,再借助自動化掃描程序24小時不間斷掃描全網各類應用商店、分發(fā)渠道就能完成App渠道監(jiān)測任務。下表給出了盜版、相似應用的判斷邏輯。

表2 盜版、相似應用的判斷邏輯

通付盾云渠道監(jiān)測覆蓋超過500家應用發(fā)布渠道,包括第三方應用市場、論壇等方式。該服務從渠道分布、應用版本及其盜版率、下載量、盜版渠道來源等多方面對App應用進行實時監(jiān)測,并對獲取的信息進行全方位深入分析,最終將分析數據形成完備的監(jiān)測報告。開發(fā)者可以通過通付盾云渠道監(jiān)測服務第一時間發(fā)現盜版應用,針對性地進行處置。

圖8 渠道監(jiān)測服務效果展示

近日,通付盾云對新注冊用戶提供了優(yōu)惠服務,完成注冊即能免費享受渠道監(jiān)測服務1次及其他安全合規(guī)產品線安全檢測加固服務2次、灰應用檢測服務1次。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）