山寨APP層出不窮，通付盾云渠道監(jiān)測服務幫您守住安全底線

 

大數(shù)據(jù)時代，移動應用數(shù)量快速增長、應用領域也廣泛擴展。據(jù)工信部統(tǒng)計，截至2021年4月底，我國國內(nèi)市場上監(jiān)測到的App數(shù)量突破302萬款。隨之而來的移動應用盜版情況日益突出，一些披著“官方App”外衣的盜版山寨App也層出不窮，它們“肆意作亂”，危害著用戶信息安全、財產(chǎn)安全。

在某應用商店上搜索“12306”，發(fā)現(xiàn)一大批類似應用，這些App不僅名字類似、圖標、顏色也大同小異，下載量從幾萬到幾十萬、幾百萬、上千萬。

圖1 類似12306火車票應用

高仿、山寨、盜版這些詞我們并不陌生，幾年前就有各種盜版，盜版App絕不是個例。再看一個例子，搜索“12123”查詢違章應用，結果又是一推類似應用，你能正確辨別真?zhèn)螁幔?/span>

圖2 類似12123應用

現(xiàn)在的盜版 App已經(jīng)深入到各行各業(yè)，據(jù)國家互聯(lián)網(wǎng)金融風險分析技術平臺發(fā)布的監(jiān)測數(shù)據(jù)，截至2020年2月底，發(fā)現(xiàn)互聯(lián)網(wǎng)金融盜版網(wǎng)站4.81萬個，受害用戶達12萬人次，互聯(lián)網(wǎng)金融盜版App2801個，盜版APP下載量3343.7萬次。

盜版App已然形成了一套完整的產(chǎn)業(yè)鏈，這些App是怎么來的？大家可能普遍認為開發(fā)一款盜版App成本很高，但當你打開某寶搜索“App定制”，就會明白定制一款App竟是如此簡單。

圖3 定制App

這些定制App的店鋪，只用告訴他App的類型、所需功能，他們就能幫你找到一款合適的成品App ，價格只要幾千塊，高仿定制App僅需要2、3萬。以上定制高仿App的方式還是需要成本的，如果您的App沒有經(jīng)過合適的安全保護，通過逆向技術手段，只需要簡單幾個步驟就能篡改您的App，二次打包后在應用市場上架。原包反編譯—>篡改代碼（加入自己的元素）—>生成新的安裝包—>重新簽名—>上架運行，App可謂是分分鐘被盜版。記得幾年前，有一群人專門將國外應用市場的App下載下來，通過逆向二次打包將廣告插件加入到App中，在國內(nèi)各大應用商店上架，賺取了大額的廣告費用。

事實上不僅僅是存在定制App的店鋪，為了騙取用戶信任并下載，很多盜版App還會在上架后刷下載量、評分及評論，因此也存在著大量刷評分、下載量的店鋪和專業(yè)團隊。

圖4 App刷評論

盜版App產(chǎn)業(yè)的水太深了，盜版App背后的灰色產(chǎn)業(yè)鏈非常成熟。盜版App不僅給最終用戶帶來了傷害，也給App企業(yè)開發(fā)者帶來了極大的損失。作為企業(yè)開發(fā)者該如何防止自己的App被盜版呢？目前市場App加固技術已經(jīng)非常成熟，加固技術可以保護App不被逆向，通過逆向二次打包的方式盜版一個App已不太可能，但通過找專業(yè)團隊定制高仿App的方式簡單又方便，針對這種現(xiàn)狀，通付盾北斗團隊建議在盜版App監(jiān)測上投入時間，監(jiān)測到盜版App及時進行下架處理，盡可能減少損失。下文重點描述如何在市場上監(jiān)測盜版APP。

一般盜版APP與正規(guī)APP的名稱、圖標以及功能體驗等都十分相近，大多數(shù)用戶很難辨別。同時國內(nèi)存在幾十個應用商店，再加上各類論壇、小網(wǎng)站、非法盜版網(wǎng)站，App的分發(fā)渠道眾多，還有很大一部分盜版App在國外，盜版App的監(jiān)測難上加難。目前就算發(fā)現(xiàn)了盜版 App，也難以處置，在正規(guī)應用商店上發(fā)現(xiàn)的盜版App處理下架還算容易，如果是自己建立的分發(fā)渠道，要下架處置就不容易了。

基于以上難題，盜版App監(jiān)測需要依賴自動化掃描程序24小時不間斷掃描各類應用商店、分發(fā)渠道，監(jiān)測是否出現(xiàn)同名稱、同包名、圖標相似、功能相似App,最關鍵的是檢測開發(fā)者證書指紋是否與正版App開發(fā)者證書指紋一致，若指紋不一致，但同名稱、同包名這一定是個盜版App, 這也是最有效的判定方式，詳細原理將在下文中介紹。下表列出了國內(nèi)常見的應用分發(fā)渠道。

序號市場名稱序號市場名稱

1360手機助手13當易網(wǎng)

2PC6安卓網(wǎng)14搜狗應用商店

3ZOL中關村在線15極光下載站

4樂游網(wǎng)16百度手機助手

5優(yōu)游網(wǎng)17綠茶軟件園

6歷趣應用市場18騰牛安卓網(wǎng)

7多特軟件站19騰訊應用寶

8安智應用市場20豌豆莢

9安粉絲手游網(wǎng)21酷安應用市場

10小米應用市場22魅族應用商店

112345手機助手23華為應用市場

12應用匯

表1 常見應用分發(fā)渠道

要理解如何正確判斷App是否為盜版，需要先理解一個正規(guī)App發(fā)布上架前要做好哪些準備。

Android App以它的包名(packageName)作為唯一標識，如果在同一部手機上安裝兩個包名相同的App，后者就會覆蓋前面安裝的應用。為了避免Android App被隨意覆蓋，Android要求對App進行簽名。Android系統(tǒng)也不允許安裝一個未被簽名的App，這一點很重要，App簽名的過程實際上也是開發(fā)者在證明這個App是我開發(fā)的（雖然有被二次簽名的風險，本文先不討論這類情況）。

Android使用Java數(shù)字證書相關的機制來給App加蓋數(shù)字證書，數(shù)字證書的私鑰則保留在App開發(fā)者手中，數(shù)字證書的公鑰以及簽名信息、證書指紋被打包進了App中。重點來了，證書指紋是判斷盜版的關鍵依據(jù)，證書指紋在數(shù)字證書生成的時候就被確定，同時經(jīng)過證書私鑰簽名，私鑰被保留在App開發(fā)者手中，因此想要偽造App中的證書指紋幾乎是不可能的。

實際上App的簽名過程就是PKI技術的應用，App大致簽名原理如下。

1.計算App安裝包（Apk）中數(shù)據(jù)文件，形成信息摘要。

圖5 形成信息摘要

2.利用證書私鑰對信息摘要簽名。

圖6 數(shù)字簽名

3.將數(shù)字簽名、證書公鑰信息、證書指紋附在Apk文件中,證書私鑰保留在開發(fā)者手中。

圖7  完成簽名

App完成簽名后就能正常發(fā)布到應用市場，供用戶下載安裝。手機安裝時會對App各類簽名信息、證書信息逐一進行驗證，沒有被篡改或破壞則安裝成功。

結論：App的包名和證書指紋能唯一確定一款App。

通過上文核心原理介紹，不難理解App盜版監(jiān)測的核心就是App證書指紋、App應用名稱、App包名的比對驗證,其中App證書指紋起關鍵性作用，再借助自動化掃描程序24小時不間斷掃描全網(wǎng)各類應用商店、分發(fā)渠道就能完成App渠道監(jiān)測任務。下表給出了盜版、相似應用的判斷邏輯。

簽名指紋相同包名相同名稱相同結論

√×√相關應用

√√×相關應用

√√√正版

√××無關應用

×√√盜版

×√×盜版

××√盜版\相同行業(yè)應用

×××無關應用

表2 盜版、相似應用的判斷邏輯

通付盾云渠道監(jiān)測覆蓋超過500家應用發(fā)布渠道，包括第三方應用市場、論壇等方式。該服務從渠道分布、應用版本及其盜版率、下載量、盜版渠道來源等多方面對App應用進行實時監(jiān)測，并對獲取的信息進行全方位深入分析，最終將分析數(shù)據(jù)形成完備的監(jiān)測報告。開發(fā)者可以通過通付盾云渠道監(jiān)測服務第一時間發(fā)現(xiàn)盜版應用，針對性地進行處置。

圖8 渠道監(jiān)測服務效果展示

近日，通付盾云對新注冊用戶提供了優(yōu)惠服務，完成注冊即能免費享受渠道監(jiān)測服務1次及其他安全合規(guī)產(chǎn)品線安全檢測加固服務2次、灰應用檢測服務1次。

 

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。

關鍵詞：