GooglePlay上的WhatsApp竟然是假的,我的APP會不會也是仿冒的?
導語:最近關於Google的新聞實在是有點頻繁。從10月末開始到現在,Google Play的漏洞和惡意軟體的感染事件層出不窮,特別是由於它的自檢測系統失效,Google Play出現冒牌 WhatsApp,100多萬安卓使用者不幸下載。
Google Play已上線8年。但惡意軟體對Google Play的感染程度遠高於蘋果公司的App Store。
10月20日左右,為了清除Google Play商店中的漏洞,Google向發現Android應用漏洞的安全專家們承諾,每發現一個漏洞,提供至少為1000美元獎勵。
詳情可點選:https://jaq.alibaba.com/community/art/show?articleid=1151
在10月末,獨立的防病毒測試公司AV-TEST檢查了Google的Play Protect – Google Play防病毒系統。發現它的可靠性比大多數第三方方案更低。
Google Play存在大量的惡意應用的事實確實令人擔憂。事實上,Google在1月份從其軟體分發平臺中清除了超過25000個受感染的應用程式。
詳情可點選:https://jaq.alibaba.com/community/art/show?articleid=1158
還是在10月末,谷歌bug tracker(谷歌漏洞提交平臺)中存在漏洞,安全研究員可以利用該漏洞檢視漏洞庫中的嚴重漏洞。漏洞發現者AlexBirsan表示,因為攻擊者可以檢視漏洞庫中的所有漏洞,其中包括漏洞詳情,所以攻擊者完全有可能已經利用漏洞庫中的漏洞潛入進了谷歌內網。
詳情可點選:https://jaq.alibaba.com/community/art/show?articleid=1173
11月4日,據外媒 Reddit 報導:安全研究人員 Dexter Genius 近期發現黑客利用官方 Google Play商店作為惡意軟體儲存倉庫、部署冒牌 WhatsApp 應用。目前,已有超過 100 萬的安卓使用者下載使用。這似乎又是谷歌自動檢測系統失敗的一次例證。
詳情可點選:https://jaq.alibaba.com/community/art/show?articleid=1190
11月6日,據外媒報導,來自美國馬里蘭大學的一個團隊設計了一款自動攻擊的程式,成功攻破了谷歌的reCaptcha驗證碼服務中的“音訊驗證”選項,準確率高達85%。谷歌的reCaptcha並不是第一次被攻破,看來谷歌的自動識別技術仍需要持續提高。
詳情可點選:http://www.4hou.com/info/news/8317.html
雖然關於谷歌的網路安全事件層出不窮,Google Play上漏洞頻現,惡意軟體入侵,冒牌軟體佔領,自動識別技術被攻破等,給了黑產們巨大的牟取利益的空間,或許還會降低使用者對谷歌的品牌信任度,但谷歌作為老牌的網際網路公司,對於網路安全的問題採取的措施都是很迅速的,如漏洞獎勵計劃,為白帽們提供高額獎金,而爆出漏洞也會即時修復,讓使用者及時更新版本,效率很高,保障使用者的移動端安全。
那麼,對於普通企業而言,若是出現像Google Play上一樣的安全漏洞,惡意程式碼,仿冒應用等安全風險,應該如何應對呢?
這些功能又是如何實現的呢?拿“應用加固”舉例:
應用加固通過對Android應用進行重新編譯、加殼保護、修改指令呼叫順序等手段來增強應用反破解能力。我們的加固功能注重加固強度與相容性並重,避免一般加固功能盲目追求加固強度導致加固後完全不可用。
應用加固核心功能包括:
·反主流靜態分析工具: 能夠有效的防止黑客通過APKTool,dex2jar,JEB等靜態分析工具來分析應用的java層程式碼。
·SO加殼: 通過對SO檔案進行加殼保護,能夠有效的防止惡意者通過IDA,readelf等工具對SO裡面的邏輯進行分析。
·DEX加殼: 通過對DEX檔案進行加殼保護,以及動態執行時載入修復等技術手段,能夠有效的防止黑客對java層程式碼的記憶體dump。
·常量加密: 對DEX檔案中的明文常量字串進行加密,執行時通過解密函式動態解密,增大了逆向分析的難度。
·java指令翻譯: 修改java層業務邏輯的呼叫關係鏈,即便黑客得到java層的程式碼,也無法完整的分析整個業務邏輯。
·java模擬執行: 通過將DEX檔案中的指令抽離,並使用一個自定義的執行環境進行模擬執行,能夠有效防止惡意者對java層程式碼進行指令級別的dump。
·全量混淆:只需配置極少量的混淆規則,就可以達到80%以上的混淆率;完美相容Proguard,可以在Proguard的基礎上進行二次混淆,大大提升黑客逆向分析難度。
特別是無自主研發能力需要委託委託第三方開發的企業,在驗收時無法及時發現APP的安全問題,比如無意或有意使用了惡意程式碼,上線後蒙受了巨大損失。首先需要對已上線的應用進行漏洞掃描,仿冒檢測,惡意程式碼掃描,及時排查修復線上問題。在後續的新版本的驗收時,使用漏洞掃描和惡意程式碼掃描,及時發現安全隱患。只有專業的技術才能提供企業移動應用(APP)全生命週期的安全服務,阿里聚安全的移動安全功能值得信賴。
雙十一已進入倒數計時階段,阿里聚安全為回報廣大企業使用者和開發者們的長期支援,移動安全產品享五折優惠!
小編提醒:雙十一福利多多,內容安全產品萬元福利大放送哦~
相關文章
- 拯救不會函式的我!!函式
- 不會程式設計也是文盲?程式設計
- 假設:如果意識也是客觀存在會怎樣?
- 我的文章會在掘金上釋出
- insert的時候使用append會不會影響到表的大小APP
- 專案delay的原因竟然是不會用UART驅動1-Wire
- 不會git的程式設計師,會不會被鄙視?Git程式設計師
- javascript 的問題 ,不知你會不會。JavaScript
- 《矮人要塞》開發者:我們的遊戲永遠不會完工遊戲
- 面試官問我會不會Elasticsearch,我語塞了...面試Elasticsearch
- 我求職的體會 (轉)求職
- 我並不會求導求導
- Windows版的Oracle到底會不會用到OS CacheWindowsOracle
- 筆試不會的東西筆試
- 為什麼我做的Android app會那麼卡?AndroidAPP
- 最怕的就是假裝努力,你真的會學習嗎?
- noip模擬29[簡單的板子題](雖然我不會)
- 這次不會說我的正則教程沒寫全了吧??
- 美團的這些AI應用,倒把我給整不會了AI
- online 建立index的時候,oracle會等待insert , update的行(假設不超過table的30% ) cIndexOracle
- ChatGPT這波熱潮會不會讓我失業?ChatGPT
- 我不會勸你買 MacMac
- 我X,你不會Google麼?Go
- WhatsApp鉅額交易內幕:追逐、密會與撲克遊戲APP遊戲
- WhatsApp被指有漏洞:會洩露使用者隱私APP
- 不會吧不會吧,還有開發不會Java填充PDF模板資料的,趕緊看看吧Java
- WhatsApp成功背後的Erlang語言APP
- mysql索引不會命中的情況MySql索引
- 我是一個不會運維的後端程式設計師運維後端程式設計師
- 怎樣保證我的程式碼不會被別人破壞?
- 對不起,我不是針對你,我是說在座的各位都不會寫 Java!Java
- 我的會話(session)在做什麼?會話Session
- 《我們的約定會實現》
- 我的會話session在做什麼?會話Session
- 不包含INTO的動態SQL不會增加序列值SQL
- Facebook收購whatsapp的真正原因:有照片APP
- 前端啟動本地服務的四種方法,看完不會你錘我前端
- 面試官的“芳心”就這樣被我俘獲!別的不會,就會拿Offer面試