众所周知,2017 年手游行业规模和收入实现大幅度增加,到目前为止发展势头也是十分强劲。但移动手游发展迅速的同时手游破解问题也是越来越严重,手游软件被破解以后会注入恶意病毒代码,从而窃取用户重要信息,这种现象已经是屡见不鲜了。由此可见,手游 APP 遭遇黑客破解,APP 加密( http://www.kiwisec.com/ )是势在必行。
手游软件被恶意破解之后,黑客会采取以下这些行动:把一些热门游戏改头换面变成山寨版的上传到应用市场,再注入恶意代码偷取用户重要信息,或者植入垃圾广告赚取广告费用。几维安全总结以下三点:
1、抄袭
手游软件都是你抄我的我抄你的,一旦遭遇黑客攻击必定导致软件受损,而且最重要的是收入急剧出现下滑。几维安全认为开发人员应该积极应对黑客攻击问题,积极应对这种山寨不良之风。
2、注入恶意代码
一些热门手游经常遭遇攻击,植入恶意代码之后进行二次打包成新的应用,此时黑客会利用这些恶意代码对用户手机进行远程控制,删除用户手机里面相关数据。如果注入病毒被篡改之后的版本申请收发短信等权限,一旦运行就会扣短信费,导致用户话费损失。
3、收费破解和植入广告行为
手游 APP 被黑客破解之后,会用自己广告 sdk 置换掉软件内置的广告 sdk,而这些广告会以通知栏提醒、广告展示等多种形式出现在用户手机上,从而诱导用户点击,使自己迅速盈利。
黑客如此猖狂,开发者该如何防范?
1、反编译漏洞防护
反编译漏洞会暴漏 App 源码,给黑客二次打包的机会。黑客利用反编译漏洞可以找到 App 的设计流程,进行山寨、篡改、注入恶意代码;对采用积分机制的 App 进行破解,绕过程序的验证机制;通过暴露的 URL 对服务进行恶意攻击。开发者可以通过代码混淆、代码加密等措施进行防护。
2、内存漏洞防护
内存漏洞一般会给恶意程序修改存储在手机上的数据留下可乘之机,非静态内部类的静态实例容易造成内存泄漏,activity 使用静态成员,使用 handler 时的内存问题等。开发者可以通过对一些应用数值做打散处理来防护。
3、反调试漏洞防护
反调试漏洞的主要危害是在用户收发短信时偷走短信记录,或在用户使用支付软件的时候,偷走用户的支付口令。针对这种漏洞,开发者可采用底层加密保护,或使用第三方安全平台加固。
最后,虽然手游屡遭破解的形势十分严峻,很多手游开发者依然采用简单、老套的加密方式进行 App 保护,这对改善手游破解状况有害无益。几维安全有 Cocos2d 手游加密工具和 Unity3d 手游加密工具,提供整体级或函数级的 DLL 加密,保护手游核心技术。更多 APP 加密技术请到几维安全官网查阅。