“山寨APP层出不穷，通付盾云渠道监测服务帮您守住安全底线”

本篇文章2521字，读完约6分钟

在大数据时代，移动APP的数量迅速增长，APP行业也在广泛扩展。 据工业和信息化部统计，截至2021年4月底，中国国内市场监测的APP数量突破302万种。 随之，移动APP盗版日益突出，披着“官方APP”外衣的盗版山寨APP层出不穷，它们“肆意混乱”，威胁着顾客的新闻和财产安全。

在一家APP商店搜索“12306”时，发现了很多类似的APP。 这些APP不仅名字相似，图标和颜色也相似。 下载量从数万到数十万、数百万、数千万。

图1类似于12306列车票的应用

我们不知道高仿、山寨、盗版这个词。 几年前就有各种盗版，盗版APP绝非一例。 再看另一个例子，搜索“12123”检查违规APP时，又按了一个相似的APP。 能正确辨别真伪吗？

图2类似于12123 APP

现有盗版 APP已深入各行各业，据国家互联网金融风险分析技术平台公布的监测数据显示，截至2801年2月底，互联网金融盗版网站4.81万个，受害人数12万人。

盗版APP已经形成了完美的产业链，这些APP是怎么来的？ 如果开发盗版APP的话，可能会被认为价格很高，但是打开某宝搜索“APP定制”，就会发现定制APP是这么简单。

图3自定义app

这些定制app的店铺只需要告诉他app的类型、所需的功能，他们就会帮你找到合适的成品app 。 价格几千美元，高仿定制app只需要两三万美元。 定制上述高仿制APP的方法还是需要价格的。 如果你的APP没有得到适当的安全保护，可以通过反向技术的手段，用简单的几个步骤篡改APP，二次打包陈列在APP市场上。 原包反编译() ) gt； 代码篡改(加上自己的要素) )； 生成新的安装软件包—>； 重新签名—>； 陈列着，可以说APP每分钟都被盗版了。 我记得几年前，有人下载了海外APP市场的APP，用逆向的二次包装将广告插件添加到APP，陈列在国内各APP商店，赚取了高额的广告费用。

事实上，不仅是存在定制APP的店铺，许多盗版APP在上架后都会打印下载量、分数和评论，以便得到顾客的信任和下载。 因为也有大量印刷分数、下载量的店铺和专业团队。

图4 app刷注释

盗版APP产业的水太深了，盗版APP背后的灰色产业链非常成熟。 盗版APP不仅给最终顾客带来了伤害，也给APP公司的开发者带来了巨大的损失。 作为公司的开发者，如何防止自己的APP被盗版？ 目前，市场APP加固技术非常成熟，加固技术可以从反方向保护APP。 虽然用反向二次打包的方法盗版一个APP已经不可能了，但是给专业团队定制高仿APP的方法既简单又方便。 对比这一现状，通付盾北斗团队提出，将时间投入到盗版APP的监控上，监控盗版APP及时退保解决，将损失降到最低。 以下要点介绍如何在市场上监控盗版APP。

盗版APP和正版APP的名称、图标、功能体验等通常非常接近，大多数客户很难分辨。 而且国内有几十家APP商店，除了各种论坛、小网站、非法盗版网站外，APP的分发渠道很多，另外大部分盗版APP都在国外，盗版APP很难监控。 现在，即使发现盗版 APP，也很难处置。 虽然在正规APP商店发现的盗版APP解决退换还很简单，但如果是自己建立的一个一个的渠道，退换的处置就不容易了。

基于以上课题，盗版APP的监控依靠自动扫描程序全天候不间断地扫描各种APP存储区，逐一发送路径，查看是否有相同的名称、相同的包名、图标相似、功能相似的APP 最重要的是检查开发者证书的指纹是否与正版APP开发者证书的指纹一致，如果指纹不一致，那么同样的名字、同样的包名肯定是盗版APP。 这也是最有效的判断，下表列出了国内常见的各种APP通道。

表1一般APP各通道

要理解如何正确评价APP是否是盗版，就需要理解在正规APP上市之前必须做好它们的准备。

Android APP将其包名( packagename )设为唯一的标记，如果在同一台智能手机上安装两个同名的APP，后者将涵盖之前安装的APP。 为了防止安卓 APP被随意改写，安卓要求在APP上签名。 安卓系统也不允许安装未签名的app。 这几个非常重要。 app签名的流程也说明了实际上开发者是这个app是我开发的(虽然有被二次签名的风险，但是本文不讨论这种情况)。

安卓采用java数字证书相关机制在app上盖章数字证书，数字证书的私钥保存在app开发者手中，数字证书的公钥和签名新闻、证书指纹封装在app上。 其中，证书指纹是评价盗版的重要依据，证书指纹在数字证书生成时明确，经过证书的私钥签名，私钥保存在app开发者手中。 因此，几乎不可能伪造app内的证书指纹。

事实上，APP签名过程是pki技术的应用，APP的大致签名原理如下。

1 .计算app安装包( apk )中的数据文件，制作新闻摘要。

图5形成新闻摘要

2 .利用证书私钥签署新闻文摘。

图6数字签名

3 .将数字签名、证书公钥新闻、证书指纹附加在apk文件中，证书私钥保存在开发者手中。

图7已签名

APP在签名完成后，将成功发布到APP市场，客户可以下载并安装。 安装手机时，逐一验证APP的各种签名新闻、证书新闻，如果没有篡改和破坏，则安装成功。

结论: APP包名和证书指纹可以明确唯一的APP。

通过以上核心原理的介绍，app盗版监测的核心是app证书指纹、app app应用名称、app包名的比对验证，其中app证书指纹起着重要作用，利用自动扫描程序全天候进行网络的各类APP。 下表列出了盗版、类似APP的评估逻辑。

表2盗版，类似APP的评价逻辑

通过屏蔽云渠道，包括第三方应用市场、论坛等方法，监控并覆盖500多条应用投稿渠道。 该服务从渠道分布、APP版本及其盗版率、下载数量、盗版渠道来源等多个方面实时监测APP的使用，从各方面深入分析获取的新闻，最终分解数据形成完整的监测报告。 开发者可以通过盾云路由监控服务第一时间发现盗版APP，并进行比较处置。

图8展示频道监控服务的效果

近日，通付盾云为新注册客户提供优惠服务，完成注册后可免费享受渠道监控服务1次和其他安全合规产品线安全检测强化服务2次、灰应用检测服务1次。

来源：企业信息港