盗版APP的问题一直由来已久,困扰了不少使用者。前不久网上一则新闻爆出,由于用户下载了某知名网贷产品的仿冒APP,遭遇假客服导致直接损失4万元。从移动互联网接入我们的生活开始,APP“李逵与李鬼”的问题就一直越演越烈,给不少APP商家和用户造成了困扰。
根据国家互联网金融安全技术专家委员会发布的《互联网金融监测情况报告》中显示,截止2017年4月30日,系统监测发现互联网金融仿冒网页4.5万余个,发现仿冒APP 1300余个,而仿冒APP的累计下载量已经高达3000万次,普通用户对山寨类APP的识别能力方面存在着严重的缺失。
山寨APP不仅泛滥在金融行业,实际上,大部分APP都有过被仿冒的经历。仿冒APP已经成为了一条暴利产业链,仿冒形式也多种多样,比较常见的是通过破解正版的APP进行二次打包上传至应用商城,二次打包的成本低廉、操作简单,一般黑客会通过AndroidKiller等反编译工具,在源码中植入广告、恶意代码、木马病毒再重新二次打包生成新的APP;另外一种常见的诱使用户下载安装恶意仿冒应用的方式,通过伪基站发送短信或者是钓鱼网站引导用户上当。
随着移动互联网的兴起,手机APP已经成为了很多人恶意敛财的目标,除了遭遇二次打包的尴尬之外、一些APP还会遭遇Java层调试漏洞、组件安全等安全问题。今年6月出台的《网络安全法》的第22条明确指出,“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”这条法规的出台也意味着,APP厂商应对APP的安全负主要责任,大部分APP开发人员在APP上线的时候不得不将安全问题作为APP整体重要的一环去考虑,而这也正是大部分开发人员不擅长的事情。
移动APP安全究竟该如何考量?全球知名的移动信息安全服务商爱加密的技术总监程智力表示,APP安全应该从整个APP的全生命周期去考虑:“APP全生命周期主要分为以下阶段——开发阶段、测试阶段、防护阶段、优化阶段、运营阶段。显然,APP山寨的现象是在运营时被仿冒,这其实完全可以通过安全防护避免的。在整个APP的生命周期里,每个阶段都存在着大量APP被侵害的案例,例如常见的漏洞风险、被黑客攻击后APP被逆向分析、二次打包、嵌入病毒、广告的恶意代码等。”
程智力认为,APP的安全防护应该覆盖整个生命周期,包括在开发测试阶段对APP的检测与评估、APP上线时做到实时防护、运营阶段可以实时对渠道监测。爱加密免费的安全检测与加固平台可以帮助APP进行检测并提供最新第六代双重VMP加密技术,在确保兼容性的同时能够有效为APP提供全生命周期的安全防护。