从APP圈的“李逵与李鬼”看移动互联网安全问题

盗版APP的问题一直由来已久，困扰了不少使用者。前不久网上一则新闻爆出，由于用户下载了某知名网贷产品的仿冒APP，遭遇假客服导致直接损失4万元。从移动互联网接入我们的生活开始，APP“李逵与李鬼”的问题就一直越演越烈，给不少APP商家和用户造成了困扰。 根据国家互联网金融安全技术专家委员会发布的《互联网金融监测情况报告》中显示，截止2017年4月30日，系统监测发现互联网金融仿冒网页4.5万余个，发现仿冒APP 1300余个，而仿冒APP的累计下载量已经高达3000万次，普通用户对山寨类APP的识别能力方面存在着严重的缺失。 山寨APP不仅泛滥在金融行业，实际上，大部分APP都有过被仿冒的经历。仿冒APP已经成为了一条暴利产业链，仿冒形式也多种多样，比较常见的是通过破解正版的APP进行二次打包上传至应用商城，二次打包的成本低廉、操作简单，一般黑客会通过AndroidKiller等反编译工具，在源码中植入广告、恶意代码、木马病毒再重新二次打包生成新的APP；另外一种常见的诱使用户下载安装恶意仿冒应用的方式，通过伪基站发送短信或者是钓鱼网站引导用户上当。 随着移动互联网的兴起，手机APP已经成为了很多人恶意敛财的目标，除了遭遇二次打包的尴尬之外、一些APP还会遭遇Java层调试漏洞、组件安全等安全问题。今年6月出台的《网络安全法》的第22条明确指出，“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”这条法规的出台也意味着，APP厂商应对APP的安全负主要责任，大部分APP开发人员在APP上线的时候不得不将安全问题作为APP整体重要的一环去考虑，而这也正是大部分开发人员不擅长的事情。 移动APP安全究竟该如何考量？全球知名的移动信息安全服务商爱加密的技术总监程智力表示，APP安全应该从整个APP的全生命周期去考虑：“APP全生命周期主要分为以下阶段——开发阶段、测试阶段、防护阶段、优化阶段、运营阶段。显然，APP山寨的现象是在运营时被仿冒，这其实完全可以通过安全防护避免的。在整个APP的生命周期里，每个阶段都存在着大量APP被侵害的案例，例如常见的漏洞风险、被黑客攻击后APP被逆向分析、二次打包、嵌入病毒、广告的恶意代码等。” 程智力认为，APP的安全防护应该覆盖整个生命周期，包括在开发测试阶段对APP的检测与评估、APP上线时做到实时防护、运营阶段可以实时对渠道监测。爱加密免费的安全检测与加固平台可以帮助APP进行检测并提供最新第六代双重VMP加密技术，在确保兼容性的同时能够有效为APP提供全生命周期的安全防护。 - 完 - 爱加密简介（www.ijiami.cn） 爱加密是北京智游网安科技有限公司2013年推出的核心品牌，在移动安全领域拥有众多的核心自主专利技术，是移动安全行业的领导品牌。旗下产品涉及移动应用安全开发、安全防护、安全优化、安全运维及移动业务优化等各个方向，为企业提供围绕产品全生命周期的一体化信息技术服务。爱加密目前为金融行业、运营商、政府、游戏电商、移动OA、教育医疗等众多行业提供整套的移动信息安全解决方案。涵盖Android、iOS、HTML5三大平台、为企业安全部门、技术部门及业务部门提供有力的服务支撑。爱加密发展至今，已经在全国7个城市成立公司，包括：北京、深圳、上海、成都、福州、郑州、广州。目前服务APP超80万款，覆盖8亿终端用户。