近日蘋果APP安全事件一時(shí)成為熱點(diǎn)，蘋果也已經(jīng)證實(shí)大量應(yīng)用程序被惡意代碼感染许布，多款知名社交兴革、地圖、出行APP的iPhone版均被爆出有“惡意代

碼”蜜唾，騰訊發(fā)布報(bào)告稱受影響用戶可能超過1億杂曲。記者多方采訪了解到，本次事件“源頭”叫Xcode灵妨，受惡意代碼影響解阅，由這款工具開發(fā)的iOS版APP以及

MacOS的程序都會(huì)被影響落竹，都存在泄露個(gè)人隱私的危險(xiǎn)泌霍。

除了長(zhǎng)期標(biāo)榜自身安全性卻陷入安全危機(jī)的蘋果，還有長(zhǎng)期處于尷尬境地的安卓

平

臺(tái)述召，面對(duì)安卓操作系統(tǒng)大家應(yīng)該知道朱转，Android是一種基于Linux的自由及開放源代碼的操作系統(tǒng)，主要應(yīng)用于手持設(shè)備积暖。主要使用于移動(dòng)設(shè)備藤为，如智能

手機(jī)和平板電腦，據(jù)統(tǒng)計(jì)全球移動(dòng)平臺(tái)的安全問題80%來源于安卓平臺(tái)夺刑。根據(jù)騰訊發(fā)布的《2015年上半年手機(jī)安全報(bào)告》顯示缅疟，2015年上半年

Android手機(jī)病毒包新增596.7萬(wàn)個(gè)，相對(duì)去年同期遍愿，同比增長(zhǎng)1741%存淫。安卓手機(jī)早已經(jīng)成為病毒軟件攻擊的重災(zāi)區(qū)。

網(wǎng)絡(luò)安全公司Zimperium研究人員2015年07月27日警告沼填，全球應(yīng)用最廣泛的移動(dòng)設(shè)備操作系統(tǒng)之一安卓(Android)存在“致命”安全漏洞桅咆，黑客只需簡(jiǎn)單發(fā)送一封彩信便能在用戶毫不知情的情況下完全控制手機(jī)。

針對(duì)Androidapk安全現(xiàn)狀分析

Android系統(tǒng)由于其開源的屬性坞笙，市場(chǎng)上針對(duì)開源代碼定制的ROM參差不齊岩饼，在系統(tǒng)層面的安全防范和易損性都不一樣荚虚，Android應(yīng)用市場(chǎng)對(duì)

app的審核相對(duì)iOS來說也比較寬泛，為很多漏洞提供了可乘之機(jī)籍茧。市場(chǎng)上一些主流的app雖然多少都做了一些安全防范版述，但由于大部分app不涉及資金安

全，所以對(duì)安全的重視程度不夠寞冯；而且由于安全是門系統(tǒng)學(xué)科院水，大部分app層的開發(fā)人員缺乏安全技術(shù)的積累，措施相對(duì)有限简十。據(jù)小編了解：反編譯

Android apk 現(xiàn)象的發(fā)生主要原因檬某，在于開發(fā)商投入市場(chǎng)的Android apk包未經(jīng)任何加固保護(hù)。

比如去年央視曝光的一

款名為“銀行悍匪”的手機(jī)銀行木馬螟蝙，模仿真正的手機(jī)銀行軟件恢恼，通過釣魚方式獲取用戶輸入的手機(jī)號(hào)、身份證號(hào)胰默、

銀行賬號(hào)场斑、密碼等信息，并把這些信息上傳到黑客指定服務(wù)器牵署。盜取銀行賬號(hào)密碼后漏隐，立即將用戶賬戶里的資金轉(zhuǎn)走。手機(jī)木馬有的獨(dú)立存在奴迅，有的則偽裝成圖片文

件的方式附在正版app上青责，隱蔽性極強(qiáng)，部分病毒還會(huì)出現(xiàn)變種取具，并且一代比一代更強(qiáng)大脖隶。

關(guān)鍵信息泄露，雖然java代碼一般要做混淆暇检，但是Android的幾大組件的創(chuàng)建方式是依賴注入的方式产阱，因此不能被混淆，而且目前常用的一些反編譯工

具比如apktool等能夠毫不費(fèi)勁的還原java里的明文信息块仆，native里的庫(kù)信息也可以通過objdump或IDA獲取构蹬。因此一旦java或

native代碼里存在明文敏感信息，基本上就是毫無安全而言的悔据。

apk 重打包庄敛，即反編譯后重新加入惡意的代碼邏輯，從新打包一個(gè)apk文件蜜暑。重打包的目的一般都是上面提到和病毒結(jié)合铐姚，對(duì)正版apk進(jìn)行解包，插入惡意病毒后重新打包并發(fā)布，因此偽裝性很強(qiáng)隐绵。截住apk重打包就一定程度上防止了病毒的傳播之众。

使用第三方安全服務(wù)對(duì)APP進(jìn)行安全加固

愛加密移動(dòng)應(yīng)用安全加固平臺(tái)（www.ijiami.cn）是一家針對(duì)移動(dòng)應(yīng)用提供一站式安全加密保護(hù)服務(wù)平臺(tái)。面對(duì)手游行業(yè)的反編譯現(xiàn)象依许，愛加密為開發(fā)者獨(dú)家提供so文件專屬定制加密棺禾；通過對(duì)資源文件的保護(hù)防竊取、防資源文件篡改峭跳；提供多種不同的加密方式滿足不同用戶膘婶、不同場(chǎng)景的使用需求。

通過apk加固防止反編譯蛀醉，對(duì)dex源文件進(jìn)行加固保護(hù)悬襟，隱藏源代碼；對(duì)資源文件拯刁，主配置文件進(jìn)行指紋校驗(yàn)保護(hù)脊岳，來防止二次打包，從根本上杜絕反編譯和

盜版垛玻。另外針對(duì)有不同需求的開發(fā)者愛加密提供定制服務(wù)割捅，包括通訊協(xié)議保護(hù)、高級(jí)內(nèi)存保護(hù)等帚桩，全方位保護(hù)apk安全亿驾。具體操作移動(dòng)應(yīng)用開發(fā)者只需上傳一個(gè)應(yīng)

用apk包，就可獲得全方位的app加固保護(hù)方案账嚎。其他所有操作均由系統(tǒng)和愛加密工作人員完成莫瞬，對(duì)DEX文件、資源文件醉锄、主配文件乏悄、SO庫(kù)文件加固，做好

二次打包防護(hù)恳不，把靜態(tài)破解和動(dòng)態(tài)破解拒之門外，加密后可有效防止應(yīng)用被反編譯开呐，嵌入病毒烟勋、惡意扣費(fèi)SDK、廣告SDK等筐付，防止被非法漢化卵惦，可將安卓漏洞風(fēng)

險(xiǎn)降低。從而做到安卓apk安全加固的目的瓦戚。

針對(duì)iOS平臺(tái)的安全風(fēng)險(xiǎn)沮尿，愛加密也提供了解決方案，如愛加密提供了針對(duì)Xcode進(jìn)行

檢

測(cè)的工具。在安裝新的Xcode之前對(duì)dmg文件進(jìn)行md5驗(yàn)證畜疾，確保跟官方AppStore上的一致赴邻。對(duì)于已經(jīng)安裝部署好的Xcode開發(fā)環(huán)境，對(duì)關(guān)鍵

文件夾進(jìn)行對(duì)比檢測(cè)啡捶，列出與官方發(fā)布版本不一致的文件姥敛，進(jìn)行風(fēng)險(xiǎn)的提前規(guī)避。