【IT168 现场报道】2016年10月27日-29日,2016中国系统架构师大会(SACC 2016)在北京万达索菲特大饭店举行。作为中国规模最大的架构师豪门盛会,本届大会以“架构创新之路”为主题,站在创新的风口上,与大家共同打造一场通过架构创新及各种IT新技术来带动企业转型增效,助力架构师们腾飞的技术盛会。
因为开源的特点,安卓(Android)得到了广大厂商和开发者的支持,据国外一份调研报告显示,截至今年7月底的前三个月内苹果(ios)中国市场份额降至14.3%。与此同时,安卓市场份额增至85%,创下历史最高纪录。
市场份额的增长使得安卓应用市场愈发繁荣,但繁荣的背后却存在一个日益严重的问题,那就是国内大量安卓app被盗版。这种盗版严重到怎样的程度?
▲智能手机安全专家周亚金
10月29日,在2016中国系统架构师大会上,智能手机安全专家周亚金提供了一组数据,今年他调查收集了10305个安卓app,结果却发现被重新打包的盗版app多达954986个。
周亚金表示,很多开发者缺乏安全意识,开发出来的安卓app没有采取任何保护措施,能被盗版者轻松的反编译。周亚金发现,app盗版高危区集中在软件和游戏。
app被盗版会带来什么样的后果?周亚金分析了app被盗版的危害。很多人觉得盗版跟自己没关系,受影响的是开发者,其实受影响的远不止开发者,对普通用户影响也不容忽视,因为在盗版的app中通常都会插有恶意代码,或者隐私收集代码,如果你不幸使用这些盗版app,个人隐私显然会受损。
周亚金认为,国内安卓app盗版严重与国内的生态有关,国内各种安卓市场分发渠道众多,而国外只有一个Googleplay。
盗版一个app难吗?周亚金表示,其实非常容易。那么APP开发者应该如何防盗?周亚金谈到,最初级的方法反编译,国内有很多免费的应用加固服务,如360加固宝、百度加固、腾讯加固、阿里加固、梆梆安全等。但比较讽刺的是,这些免费的应用加固服务却被一些盗版者使用的炉火纯青。
而中级防盗方法,周亚金介绍对抗静态分析和动态调试的一些方法。其中混淆和加壳是为了防止对应用的静态分析;代码混淆会增加攻击者的时间成本, 静态的方法依然容易被绕过,并不是一个系统的app保护方法。反调试用来对抗对app的动态分析;如dex文件加密等。
最后,周亚金还介绍了安卓应用保护技术的一些新趋势。新技术趋势实质上是一种攻防的升级,通过新的方法制造更高的破解难度。
周亚金认为,只要Dalvik虚拟机还在运行,那DEX CODE肯定能被从内存中取出,这是毫无疑问的,为了加大难度,目前把DEX code无缝转化成相同语义Native Code是目前一个比较大的趋势。这样做的好处在于非常复杂的逻辑即使被取出来,理解起来也是非常难。具体方法:
1、隐藏控制流
2、不仅隐藏函数的调用关系,而且甚至把DEX CODE转化成另外一种bytecode。
