说起APP安全，一般用户首先想到可能就是给手机安装个杀毒软件，比如腾讯、金山、360等等。不可否认，这些杀毒软件一定程度上确实是保护了手机上的APP。但是，这个只是一个治标不治本的方法。有没有人想过，为什么我们的APP需要杀毒？其实，那是因为有人在攻击我们的APP。要根治这个问题，我们还是要把目光放在APP安全领域还有另一端——APP开发者开发APP的安全。

APP安全问题日益严峻

    防止恶意APP 开发者也有责任

    开发者也需要安全？一些人可能还想不明白。从一个常规流程来说，开发者开发APP，然后推广给用户，一个很完美的流程，用户如果中毒了，下个杀毒软件查杀即可，用户如果资料丢失了，那要怪就只能怪用户，怪恶意病毒，其实这其中也有开发者的责任，就是开发者开发的APP不够安全，表面上开发者不要承担什么责任，但是你会失去用户，用户会偷偷的卸掉你的APP，对于一个小白用户来说，只知道下了某家的APP中毒，赶紧卸载掉。其实目前很多安全公司喜欢转移用户的视线，出了病毒不怪APP开发者，只怪病毒，目的很明显——推广自己的杀毒软件，久而久之，杀毒软件推广的很快，开发者开发的APP，却下载的越来越少，所以开发者更应该保护自己APP的安全，防止恶意APP，开发者也应有责任。

    开发者开发的APP有漏洞

    俗话说，开发者开发的APP，理论应是安全的。毕竟自家程序员写的代码，不会内置什么恶意程序，更不会偷用户的资料，所以当然问心无愧。但是，问题出来了，市场上很多恶意APP都是知名应用，比如《小鳄鱼爱洗澡》、《植物大战僵尸2》、《愤怒的小鸟》等等哪儿出来呢？其实大家都知道，是被黑客恶意篡改后出来的，黑客怎么能修改了你的APP？很明显，开发者的开发的APP有漏洞。主要有哪些APP漏洞呢？可以从下面几个方面来说。

    首先，反编译漏洞。目前很多安卓应用开发所使用的语言都是java，java经过编译后生成一个dex源程序文件，这个文件经过反编译后，可以很轻松的看到源代码，反编译的代码和源代码几乎没有什么区别，一个稍微懂点技术的黑客，使用网上几款流行的反编译程序，把java代码发编译后，即可加入自己的恶意代码，然后经过二次编译，就可以生成一个新的APP，然后提交到应用市场上提供用户下载，这样一个正常的APP就变成了恶意APP，用户只要下载了这个APP就“中招”。

    其次，内存漏洞。其实大家都知道，APP就是一个程序，下载到手机上之后，就是一个文件，用户在点击启动按钮之后，程序就会启动，会在手机的内存中运行，就会形成一个进程。进程是干嘛的，就是来存储用户数据的，这个存储时动态的，用户在程序的任何操作都会被写进内存里，比如一个游戏的分数，金币等数值，并且存放各种数据进程是独立的，不同进程互相不影响。这个时候，很明白就会有一个漏洞，什么漏洞，那就是当程序运行时，有个恶意程序修改存储在手机上数据，就像你安心的再做公交车，一个小偷偷偷的把手收到你的口袋里偷走你的钱包一样。每个APP都是一个独立的进程，恶意的代码会偷偷修改其他APP的进程。

    再次，反调试漏洞。安卓系统允许程序在运行时，通过一个调试程序对APP进行调试，这个调试程序拥有手机最高的权限，一般情况下，这个权限只是方便开发者对自己开发的APP进行调试的。可是，一些黑客，却利用这个功能用来搞破坏。比如，当用户使用支付软件的时候，偷走用户的支付口令；当用户在使用发短信功能时候，偷走用户的短信记录……等很多恶意手段都可以利用这个漏洞。

综上所述，一款APP可能还有其他漏洞，当然上面所提的几个漏洞是主要的，正所谓道高一尺一次魔高一丈，虽然一些开发者在写代码时，做了一些安全保护措施，但是要想真正的做到APP安全，就需要更加专业的手段，甚至需要更加专业的安全公司如爱加密来做。爱加密是北京智游网安科技有限公司旗下产品,国内专业的安卓和iOS应用平台安全保护服务商,包括APP安全漏洞检测,应用加密保护,渠道监测等服务。爱加密能够有效防止二次打包,防止APK反编译,为移动金融,手游等提供安全保护方案。

    开发者需要专业安全保护

    作为开发者或开发商，是应用程序产生的源头。建议将安全融入到应用开发生命周期当中去，在开发阶段进行安全测试和检测，及时发现应用程序缺陷和安全漏洞，减少不必要的安全风险；在应用发布阶段进行应用安全加固，增加应用安全强度，防止应用被破解和二次打包；在运营阶段进行渠道监测，及时发现盗版应用，保障自身合法权益不受恶意损害。