山寨APP層出不窮，通付盾云渠道監測服務幫您守住安全底線

 

大數據時代，移動應用數量快速增長、應用領域也廣泛擴展。據工信部統計，截至2021年4月底，我國國內市場上監測到的App數量突破302萬款。隨之而來的移動應用盜版情況日益突出，一些披著“官方App”外衣的盜版山寨App也層出不窮，它們“肆意作亂”，危害著用戶信息安全、財產安全。

在某應用商店上搜索“12306”，發現一大批類似應用，這些App不僅名字類似、圖標、顏色也大同小異，下載量從幾萬到幾十萬、幾百萬、上千萬。

圖1 類似12306火車票應用

高仿、山寨、盜版這些詞我們并不陌生，幾年前就有各種盜版，盜版App絕不是個例。再看一個例子，搜索“12123”查詢違章應用，結果又是一推類似應用，你能正確辨別真偽嗎？

圖2 類似12123應用

現在的盜版 App已經深入到各行各業，據國家互聯網金融風險分析技術平臺發布的監測數據，截至2020年2月底，發現互聯網金融盜版網站4.81萬個，受害用戶達12萬人次，互聯網金融盜版App2801個，盜版APP下載量3343.7萬次。

盜版App已然形成了一套完整的產業鏈，這些App是怎么來的？大家可能普遍認為開發一款盜版App成本很高，但當你打開某寶搜索“App定制”，就會明白定制一款App竟是如此簡單。

圖3 定制App

這些定制App的店鋪，只用告訴他App的類型、所需功能，他們就能幫你找到一款合適的成品App ，價格只要幾千塊，高仿定制App僅需要2、3萬。以上定制高仿App的方式還是需要成本的，如果您的App沒有經過合適的安全保護，通過逆向技術手段，只需要簡單幾個步驟就能篡改您的App，二次打包后在應用市場上架。原包反編譯—>篡改代碼（加入自己的元素）—>生成新的安裝包—>重新簽名—>上架運行，App可謂是分分鐘被盜版。記得幾年前，有一群人專門將國外應用市場的App下載下來，通過逆向二次打包將廣告插件加入到App中，在國內各大應用商店上架，賺取了大額的廣告費用。

事實上不僅僅是存在定制App的店鋪，為了騙取用戶信任并下載，很多盜版App還會在上架后刷下載量、評分及評論，因此也存在著大量刷評分、下載量的店鋪和專業團隊。

圖4 App刷評論

盜版App產業的水太深了，盜版App背后的灰色產業鏈非常成熟。盜版App不僅給最終用戶帶來了傷害，也給App企業開發者帶來了極大的損失。作為企業開發者該如何防止自己的App被盜版呢？目前市場App加固技術已經非常成熟，加固技術可以保護App不被逆向，通過逆向二次打包的方式盜版一個App已不太可能，但通過找專業團隊定制高仿App的方式簡單又方便，針對這種現狀，通付盾北斗團隊建議在盜版App監測上投入時間，監測到盜版App及時進行下架處理，盡可能減少損失。下文重點描述如何在市場上監測盜版APP。

一般盜版APP與正規APP的名稱、圖標以及功能體驗等都十分相近，大多數用戶很難辨別。同時國內存在幾十個應用商店，再加上各類論壇、小網站、非法盜版網站，App的分發渠道眾多，還有很大一部分盜版App在國外，盜版App的監測難上加難。目前就算發現了盜版 App，也難以處置，在正規應用商店上發現的盜版App處理下架還算容易，如果是自己建立的分發渠道，要下架處置就不容易了。

基于以上難題，盜版App監測需要依賴自動化掃描程序24小時不間斷掃描各類應用商店、分發渠道，監測是否出現同名稱、同包名、圖標相似、功能相似App,最關鍵的是檢測開發者證書指紋是否與正版App開發者證書指紋一致，若指紋不一致，但同名稱、同包名這一定是個盜版App, 這也是最有效的判定方式，詳細原理將在下文中介紹。下表列出了國內常見的應用分發渠道。

序號市場名稱序號市場名稱

1360手機助手13當易網

2PC6安卓網14搜狗應用商店

3ZOL中關村在線15極光下載站

4樂游網16百度手機助手

5優游網17綠茶軟件園

6歷趣應用市場18騰牛安卓網

7多特軟件站19騰訊應用寶

8安智應用市場20豌豆莢

9安粉絲手游網21酷安應用市場

10小米應用市場22魅族應用商店

112345手機助手23華為應用市場

12應用匯

表1 常見應用分發渠道

要理解如何正確判斷App是否為盜版，需要先理解一個正規App發布上架前要做好哪些準備。

Android App以它的包名(packageName)作為唯一標識，如果在同一部手機上安裝兩個包名相同的App，后者就會覆蓋前面安裝的應用。為了避免Android App被隨意覆蓋，Android要求對App進行簽名。Android系統也不允許安裝一個未被簽名的App，這一點很重要，App簽名的過程實際上也是開發者在證明這個App是我開發的（雖然有被二次簽名的風險，本文先不討論這類情況）。

Android使用Java數字證書相關的機制來給App加蓋數字證書，數字證書的私鑰則保留在App開發者手中，數字證書的公鑰以及簽名信息、證書指紋被打包進了App中。重點來了，證書指紋是判斷盜版的關鍵依據，證書指紋在數字證書生成的時候就被確定，同時經過證書私鑰簽名，私鑰被保留在App開發者手中，因此想要偽造App中的證書指紋幾乎是不可能的。

實際上App的簽名過程就是PKI技術的應用，App大致簽名原理如下。

1.計算App安裝包（Apk）中數據文件，形成信息摘要。

圖5 形成信息摘要

2.利用證書私鑰對信息摘要簽名。

圖6 數字簽名

3.將數字簽名、證書公鑰信息、證書指紋附在Apk文件中,證書私鑰保留在開發者手中。

圖7  完成簽名

App完成簽名后就能正常發布到應用市場，供用戶下載安裝。手機安裝時會對App各類簽名信息、證書信息逐一進行驗證，沒有被篡改或破壞則安裝成功。

結論：App的包名和證書指紋能唯一確定一款App。

通過上文核心原理介紹，不難理解App盜版監測的核心就是App證書指紋、App應用名稱、App包名的比對驗證,其中App證書指紋起關鍵性作用，再借助自動化掃描程序24小時不間斷掃描全網各類應用商店、分發渠道就能完成App渠道監測任務。下表給出了盜版、相似應用的判斷邏輯。

簽名指紋相同包名相同名稱相同結論

√×√相關應用

√√×相關應用

√√√正版

√××無關應用

×√√盜版

×√×盜版

××√盜版\相同行業應用

×××無關應用

表2 盜版、相似應用的判斷邏輯

通付盾云渠道監測覆蓋超過500家應用發布渠道，包括第三方應用市場、論壇等方式。該服務從渠道分布、應用版本及其盜版率、下載量、盜版渠道來源等多方面對App應用進行實時監測，并對獲取的信息進行全方位深入分析，最終將分析數據形成完備的監測報告。開發者可以通過通付盾云渠道監測服務第一時間發現盜版應用，針對性地進行處置。

圖8 渠道監測服務效果展示

近日，通付盾云對新注冊用戶提供了優惠服務，完成注冊即能免費享受渠道監測服務1次及其他安全合規產品線安全檢測加固服務2次、灰應用檢測服務1次。

 

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：