APP安全,别忘了开发者_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > APP安全,别忘了开发者

APP安全,别忘了开发者

 2013/9/19 11:04:26    程序员俱乐部  我要评论(0)
  • 摘要:APP安全,别忘了开发者说起APP安全,一般用户首先想到可能就是什么腾讯、金山等杀毒软件。为什么?很明显,他们生产杀毒软件,手机中毒了,可以杀毒,这些杀毒软件可以保护用户的手机,保护用户的资料的安全,其实,在APP安全领域,还有另一端,那就是开发者的安全。防止恶意APP开发者也有责任开发者也需要安全?一些人可能还想不明白。从一个常规流程来说,开发者开发APP,然后推广给用户,一个很完美的流程,用户如果中毒了,下个杀毒软件查杀即可,用户如果资料丢失了,那要怪就只能怪用户,怪恶意病毒
  • 标签:开发 开发者 APP

APP 安全" src="/Upload/Images/2013091911/B673F615474DDE55.jpg" alt="APP 安全" />

  APP安全,别忘了开发者

  说起 APP 安全,一般用户首先想到可能就是什么腾讯、金山等杀毒软件。为什么?很明显,他们生产杀毒软件,手机中毒了,可以杀毒,这些杀毒软件可以保护用户的手机,保护用户的资料的安全,其实,在 APP 安全领域,还有另一端,那就是开发者的安全。

  防止恶意 APP 开发者也有责任

  开发者也需要安全?一些人可能还想不明白。从一个常规流程来说,开发者开发 APP,然后推广给用户,一个很完美的流程,用户如果中毒了,下个杀毒软件查杀即可,用户如果资料丢失了,那要怪就只能怪用户,怪恶意病毒,其实这其中也有开发者的责任,就是开发者开发的 APP 不够安全,表面上开发者不要承担什么责任,但是你会失去用户,用户会偷偷的卸掉你的 APP,对于一个小白用户来说,只知道下了某家的 APP 中毒,赶紧卸载掉。其实目前很多安全公司喜欢转移用户的视线,出了病毒不怪 APP 开发者,只怪病毒,目的很明显——推广自己的杀毒软件,久而久之,杀毒软件推广的很快,开发者开发的 APP,却下载的越来越少,所以开发者更应该保护自己 APP 的安全,防止恶意 APP,开发者也应有责任。

  开发者开发的 APP有漏洞

  俗话说,开发者开发的 APP,理论应是安全的。毕竟自家程序员写的代码,不会内置什么恶意程序,更不会偷用户的资料,所以当然问心无愧。但是,问题出来了,市场上很多恶意 APP 都是知名应用,比如《小鳄鱼爱洗澡》、《植物大战僵尸2》、《愤怒的小鸟》等等哪儿出来呢?其实大家都知道,是被黑客恶意篡改后出来的,黑客怎么能修改了你的 APP?很明显,开发者的开发的 APP 有漏洞。有哪些漏洞,可以从下面几个方面来说。

  首先,反编译漏洞。

  目前很多安卓应用开发所使用的语言都是 java,java 经过编译后生成一个 dex 源程序文件,这个文件经过反编译后,可以很轻松的看到源代码,反编译的代码和源代码几乎没有什么区别,一个稍微懂点技术的黑客,使用网上几款流行的反编译程序,把 java 代码发编译后,即可加入自己的恶意代码,然后经过二次编译,就可以生成一个新的 APP,然后提交到应用市场上提供用户下载,这样一个正常的 APP 就变成了恶意 APP,用户只要下载了这个 APP 就“中招”。

  其次,内存漏洞。

  其实大家都知道,APP 就是一个程序,下载到手机上之后,就是一个文件,用户在点击启动按钮之后,程序就会启动,会在手机的内存中运行,就会形成一个进程。进程是干嘛的,就是来存储用户数据的,这个存储时动态的,用户在程序的任何操作都会被写进内存里,比如一个游戏的分数,金币等数值,并且存放各种数据进程是独立的,不同进程互相不影响。这个时候,很明白就会有一个漏洞,什么漏洞,那就是当程序运行时,有个恶意程序修改存储在手机上数据,就像你安心的再做公交车,一个小偷偷偷的把手收到你的口袋里偷走你的钱包一样。每个 APP 都是一个独立的进程,恶意的代码会偷偷修改其他 APP 的进程。

  再次,反调试漏洞。安卓系统允许程序在运行时,通过一个调试程序对 APP 进行调试,这个调试程序拥有手机最高的权限,一般情况下,这个权限只是方便开发者对自己开发的 APP 进行调试的。可是,一些黑客,却利用这个功能用来搞破坏。比如,当用户使用支付软件的时候,偷走用户的支付口令;当用户在使用发短信功能时候,偷走用户的短信记录……等很多恶意手段都可以利用这个漏洞。

  综上所述,一款 APP 可能还有其他漏洞,当然上面所提的几个漏洞是主要的,正所谓道高一尺一次魔高一丈,虽然一些开发者在写代码时,做了一些安全保护措施,但是要想真正的做到 APP 安全,就需要更加专业的手段,甚至需要更加专业的安全公司如梆梆安全来做。

  开发者需要专业安全保护

  开发者需要哪些安全保护?很明显,针对上述的漏洞的安全保护都需要。首先,针对反编译漏洞,需要代码混淆,更深一个层次的就是代码加密,通过对源代码加密,一方面保护 APP 源代码的完整性,另一方面,防止了黑客对 APP 的破坏,同时数据加密,还可以防止二次打包恶意破。

  其次,内存漏洞,对一些应用数值做打散处理。比如某个游戏的金币数值为 600 时,在内存存储时做打散处理,防止一些游戏修改器可以直接读取完整的内存数据做修改。目前市面的《捕鱼达人》等一些比较知名的游戏皆采用了打散处理,但是打散处理只是增加了修改内存数据的难度,无法从根本上对游戏数据进行保护。

  再次,存档数据篡改漏洞,传统校验的处理逻辑很容易被分析出来,只有从更底层的数据加密保护,才能保证数据的安全。

  随着传统互联网和传统企业的移动互联网化,越来越多的企业开始推出自己的 APP,APP 的安全也成了行业的一大安全问题,一方面不仅要保护手机用户的安全,还要保护开发者的安全, 开发者做为 APP 的源头,更是安全之重。病毒应用的肆虐,不能依靠简单的杀毒来“堵”,必须从源头上对 APP 做保护,以保护移动互联网行业健康快速发展。

上一篇: 扎克伯格:棱镜计划令Facebook用户信任度受损 下一篇: 没有下一篇了!
发表评论
用户名: 匿名