APP“二次打包”灰色产业链形成

　　一般情况下，相信大多数用户第一个想到的都会是这款软件的开发者。

　　不过，在北京江海沐晖科技有限公司创始人王磊看来，有时候APP的开发者也是有苦难言，甚至连他们自己都不知道问题究竟出在哪里。

　　“在开发APP的过程中，对于一些普遍功能模块，开发者往往会直接使用相应的第三方插件，如果这时候混入了一些恶意插件，又没有相应的安全监测，开发者与运营者无形中就成了恶意插件的‘替罪羊’。”王磊表示。

　　法治周末记者在采访中发现，除了上述APP“拼装”带来的安全风险外，当前APP市场中还存在着大量的“二次打包”现象，即一些个人或公司会对比较热门的APP进行“改装”，加入一些广告推送甚至窃取用户隐私的恶意程序，以此来为自身牟利。

　　常被忽视的第三方插件

　　“如果您使用了我们的插件服务，我们就能够告诉您，在安装了您这款APP的用户手机上，还安装了其他哪些APP。”某个提供第三方插件业务的公司曾在其宣传中如是说。

　　王磊见到这一情形时，心里马上就升起了疑问——这个第三方插件公司获取上述信息时用户究竟是否知情?它把这些数据透露给自己的企业用户是否合理?

　　王磊认为，虽然不能认定它会把获取的相关用户信息用来非法牟利，但是至少这类第三方插件公司有机会从事此类活动，并且如果它不主动告知同其合作的APP开发者，对方也很可能会不知情。

　　“整个APP生态链可分为开发、推广和运营三个环节。”网上交易保障中心副主任乔聪军告诉法治周末记者，“大家更多注意到的是后二个环节的问题，对于上游的第一环节，关注的人并不是很多，那就是拼装插件。”

　　据乔聪军介绍，早期所有APP都是项目式的定制开发;后来出现了一些模板式的APP生成，但可供自定义的范围还十分狭窄;发展到现在，有越来越多的APP是用标准化的功能模块快速拼装出来的。这些模块包括图文、交易、社交分享、导航、权限、用户评论等，多达上百种。

　　“有不法商家就会这些插件中偷偷加入恶意代码，偷偷进行信息搜集、扣费、分发广告等不法行为。”乔聪军表示。

　　易观国际[微博]高级分析师王珺在接受法治周末记者采访时表示，APP开发者为了实现自己产品的部分功能，经常会用到第三方插件，当前几乎90%以上应用都需要和其他开放平台合作，插入其提供的插件，不过恶意插件毕竟是少数。

　　王磊则认为，即便如此，随着APP“拼装”的日趋流行，由第三方插件所带来的安全隐患问题也应开始得到重视。

　　“尤其对于一些免费推广的插件要特别提起注意。”通付盾公司董事长兼CEO汪德嘉博士告诉法治周末记者，“有些恶意插件往往打着不收费的幌子，背后偷偷做一些动作，隐藏加入某些吸费、骗取流量、窃取隐私等恶意程序。”

　　“二次打包”大量存在

　　金山毒霸反病毒工程师李铁军在接受法治周末记者采访时表示，APP“拼装”有风险，不过目前明确观察到的恶意APP插件仍是少数，但是“二次打包”带来的问题却早已普遍存在。

　　李铁军表示，在APP市场中存在着大量的被业内人士称为“打包党”的人(或公司)，他们的日常工作就是寻找互联网上最热门的应用，对其拆包后插入一些自己想要分发的东西再重新拼装起来，最后把这些“二次打包”的软件再重新发布到市场中去。

　　据了解，“打包党”会在破解某一APP后，加入病毒、广告链或吸费指令等恶意程序。像保卫萝卜、植物大战僵尸、水果忍者等火爆APP，都曾遭遇过二次打包。用户一旦误下并使用了此类APP，大多都会遭遇频繁的广告骚扰、流量损失，严重的还可能被窃取密码与个人隐私等。

　　国内较早从事APP加密产业的梆梆安全副总裁赵宇此前曾公开表示，在暴利的驱使下，“二次打包”的灰色产业链早已迅速形成，一个10人的此类团队可以在一个月内靠病毒打包纯赚150万元。

　　“我们收集到的所有安卓程序的样本总量超过了2000万个，如果不是由于此类的盗版或山寨软件的流入，总量绝不会有这么多。”李铁军表示，“之前我们也专门分析过一些国内比较流行的安卓游戏应用，基本大部分的软件包都是被重新打包过的。”

　　在王磊看来，由于“二次打包”的技术门槛不高，因此早已泛滥成灾并一直都没有得到有效治理。一方面消费者因此“受难”，另一方面软件开发者眼看着自己辛辛苦苦开发的软件被别人山寨后去牟利，也是有苦难言。

　　“更严重的是，用户在误下并使用了经过‘二次打包’的软件后，一旦遭遇损失，大多数软件开发者还都难逃‘背黑锅’的厄运，备受由此带来的非议。”王磊表示。

　　加固技术反被黑客利用

　　乔聪军告诉法治周末记者，对于APP“拼装”问题，开发者有义务自行开发或选择组合不含恶意代码的插件;运营者则需要建立完善的管理体系，包括开发方的资质审核、诚信记录，进行安全检测并受理投诉、下架追偿等。

　　李铁军认为，APP上市前的安全监测尤为必要，同时也需要通过安全加固技术等措施，增强APP反盗版能力，以此对抗“二次打包”的恶意行为。

　　“安全加固是指在APP进入应用市场之前，对APP客户端进行加密、加壳保护，对抗逆向工程、代码注入等黑客行为。”汪德嘉表示。

　　汪德嘉进一步分析表示，目前市场上提供的大部分安全加固方案，都是这种对待加固的应用进行加壳、加密操作，但这种方式只是移动安全的第一步，事实上也是最脆弱的一步，这种安全加固方式只能对抗静态分析和简单的逆向工程。

　　“这也要求我们不断提升安全加固的技术水平，同时配合动态签名的方式，实时检查程序的完整性，以杜绝恶意程序的动态注入。”汪德嘉认为。

　　而就在安全加固技术进一步得到重视的同时，恶意程序加固的问题也开始展露端倪。

　　国家互联网应急中心何能强博士在此前的《2014中国网络安全论坛》上公开表示，2014年监测到的互联网上加固的安全应用程序超过7万个，恶意程序有7000多个。

　　据何能强介绍，2012年上半年，国家互联网应急中心曾接到过的一个关于仿冒微信客户端的举报事件，该恶意程序就是经过加固的。

　　“从该案例中不难看出，应用程序的加固本意是好的，是防止应用程序被篡改和攻击，但是这种正当的技术已经被黑客滥用了，他们把这些加固技术用到恶意程序里面，来对抗安全检测。”何能强认为。

　　何能强表示：“以后主管部门应该对提供加固的公司进行严格管理，禁止这些公司向恶意程序公司提供加固服务。”

　　“APP的正规开发者与恶意开发者之间永远都会存在交锋，想要解决这一问题，最好的出路仍是要不断寻求技术上的超越与提升。”王珺告诉法治周末记者。