APP安全，別忘了開(kāi)發(fā)者

說(shuō)起APP安全，一般用戶首先想到可能就是什么騰訊、金山等殺毒軟件。為什么？很明顯，他們生產(chǎn)殺毒軟件，手機(jī)中毒了，可以殺毒，這些殺毒軟件可以保護(hù)用戶的手機(jī)，保護(hù)用戶的資料的安全，其實(shí)，在APP安全領(lǐng)域，還有另一端，那就是開(kāi)發(fā)者的安全。

防止惡意APP 開(kāi)發(fā)者也有責(zé)任

開(kāi)發(fā)者也需要安全？一些人可能還想不明白。從一個(gè)常規(guī)流程來(lái)說(shuō)，開(kāi)發(fā)者開(kāi)發(fā)APP，然后推廣給用戶，一個(gè)很好的流程，用戶如果中毒了，下個(gè)殺毒軟件查殺即可，用戶如果資料丟失了，那要怪就只能怪用戶，怪惡意病毒，其實(shí)這其中也有開(kāi)發(fā)者的責(zé)任，就是開(kāi)發(fā)者開(kāi)發(fā)的APP不夠安全，表面上開(kāi)發(fā)者不要承擔(dān)什么責(zé)任，但是你會(huì)失去用戶，用戶會(huì)偷偷的卸掉你的APP，對(duì)于一個(gè)小白用戶來(lái)說(shuō)，只知道下了某家的APP中毒，趕緊卸載掉。其實(shí)目前很多安全公司喜歡轉(zhuǎn)移用戶的視線，出了病毒不怪APP開(kāi)發(fā)者，只怪病毒，目的很明顯——推廣自己的殺毒軟件，久而久之，殺毒軟件推廣的很快，開(kāi)發(fā)者開(kāi)發(fā)的APP，卻下載的越來(lái)越少，所以開(kāi)發(fā)者更應(yīng)該保護(hù)自己APP的安全，防止惡意APP，開(kāi)發(fā)者也應(yīng)有責(zé)任。

開(kāi)發(fā)者開(kāi)發(fā)的APP有漏洞

俗話說(shuō)，開(kāi)發(fā)者開(kāi)發(fā)的APP，理論應(yīng)是安全的。畢竟自家程序員寫(xiě)的代碼，不會(huì)內(nèi)置什么惡意程序，更不會(huì)偷用戶的資料，所以當(dāng)然問(wèn)心無(wú)愧。但是，問(wèn)題出來(lái)了，市場(chǎng)上很多惡意APP都是知名應(yīng)用，比如《小鱷魚(yú)愛(ài)洗澡》、《植物大戰(zhàn)僵尸2》、《憤怒的小鳥(niǎo)》等等哪兒出來(lái)呢？其實(shí)大家都知道，是被黑客惡意篡改后出來(lái)的，黑客怎么能修改了你的APP？很明顯，開(kāi)發(fā)者的開(kāi)發(fā)的APP有漏洞。有哪些漏洞，可以從下面幾個(gè)方面來(lái)說(shuō)。

首先，反編譯漏洞。目前很多安卓應(yīng)用開(kāi)發(fā)所使用的語(yǔ)言都是java，java經(jīng)過(guò)編譯后生成一個(gè)dex源程序文件，這個(gè)文件經(jīng)過(guò)反編譯后，可以很輕松的看到源代碼，反編譯的代碼和源代碼幾乎沒(méi)有什么區(qū)別，一個(gè)稍微懂點(diǎn)技術(shù)的黑客，使用網(wǎng)上幾款流行的反編譯程序，把java代碼發(fā)編譯后，即可加入自己的惡意代碼，然后經(jīng)過(guò)二次編譯，就可以生成一個(gè)新的APP，然后提交到應(yīng)用市場(chǎng)上提供用戶下載，這樣一個(gè)正常的APP就變成了惡意APP，用戶只要下載了這個(gè)APP就“中招”。

其次，內(nèi)存漏洞。其實(shí)大家都知道，APP就是一個(gè)程序，下載到手機(jī)上之后，就是一個(gè)文件，用戶在點(diǎn)擊啟動(dòng)按鈕之后，程序就會(huì)啟動(dòng)，會(huì)在手機(jī)的內(nèi)存中運(yùn)行，就會(huì)形成一個(gè)進(jìn)程。進(jìn)程是干嘛的，就是來(lái)存儲(chǔ)用戶數(shù)據(jù)的，這個(gè)存儲(chǔ)時(shí)動(dòng)態(tài)的，用戶在程序的任何操作都會(huì)被寫(xiě)進(jìn)內(nèi)存里，比如一個(gè)游戲的分?jǐn)?shù)，金幣等數(shù)值，并且存放各種數(shù)據(jù)進(jìn)程是獨(dú)立的，不同進(jìn)程互相不影響。這個(gè)時(shí)候，很明白就會(huì)有一個(gè)漏洞，什么漏洞，那就是當(dāng)程序運(yùn)行時(shí)，有個(gè)惡意程序修改存儲(chǔ)在手機(jī)上數(shù)據(jù)，就像你安心的再做公交車(chē)，一個(gè)小偷偷偷的把手收到你的口袋里偷走你的錢(qián)包一樣。每個(gè)APP都是一個(gè)獨(dú)立的進(jìn)程，惡意的代碼會(huì)偷偷修改其他APP的進(jìn)程。

再次，反調(diào)試漏洞。安卓系統(tǒng)允許程序在運(yùn)行時(shí)，通過(guò)一個(gè)調(diào)試程序?qū)PP進(jìn)行調(diào)試，這個(gè)調(diào)試程序擁有手機(jī)最高的權(quán)限，一般情況下，這個(gè)權(quán)限只是方便開(kāi)發(fā)者對(duì)自己開(kāi)發(fā)的APP進(jìn)行調(diào)試的?？墒?，一些黑客，卻利用這個(gè)功能用來(lái)搞破壞。比如，當(dāng)用戶使用支付軟件的時(shí)候，偷走用戶的支付口令；當(dāng)用戶在使用發(fā)短信功能時(shí)候，偷走用戶的短信記錄……等很多惡意手段都可以利用這個(gè)漏洞。

綜上所述，一款A(yù)PP可能還有其他漏洞，當(dāng)然上面所提的幾個(gè)漏洞是主要的，正所謂道高一尺一次魔高一丈，雖然一些開(kāi)發(fā)者在寫(xiě)代碼時(shí)，做了一些安全保護(hù)措施，但是要想真正的做到APP安全，就需要更加專(zhuān)業(yè)的手段，甚至需要更加專(zhuān)業(yè)的安全公司如梆梆安全來(lái)做。