別眨眼網

大資料時代，移動應用數量快速增長、應用領域也廣泛擴充套件。據工信部統計，截至2021年4月底，我國國內市場上監測到的App數量突破302萬款。隨之而來的移動應用盜版情況日益突出，一些披著“官方App”外衣的盜版山寨App也層出不窮，它們“肆意作亂”，危害著使用者資訊保安、財產安全。

在某應用商店上搜索“12306”，發現一大批類似應用，這些App不僅名字類似、圖示、顏色也大同小異，下載量從幾萬到幾十萬、幾百萬、上千萬。

圖1 類似12306火車票應用

高仿、山寨、盜版這些詞我們並不陌生，幾年前就有各種盜版，盜版App絕不是個例。再看一個例子，搜尋“12123”查詢違章應用，結果又是一推類似應用，你能正確辨別真偽嗎？

圖2 類似12123應用

現在的盜版 App已經深入到各行各業，據國家網際網路金融風險分析技術平臺釋出的監測資料，截至2020年2月底，發現網際網路金融盜版網站

4.81

萬個，受害使用者達

12

萬人次，網際網路金融盜版App

2801

個，盜版App下載量

3343.7

萬次。

盜版App已然形成了一套完整的產業鏈，這些App是怎麼來的？大家可能普遍認為開發一款盜版App成本很高，但當你開啟某寶搜尋“App定製”，就會明白定製一款App竟是如此簡單。

圖3 定製App

這些定製App的店鋪，只用告訴他App的型別、所需功能，他們就能幫你找到一款合適的成品App ，價格只要幾千塊，高仿定製App僅需要2、3萬。以上定製高仿App的方式還是需要成本的，如果您的App沒有經過合適的安全保護，透過逆向技術手段，只需要簡單幾個步驟就能篡改您的App，二次打包後在應用市場上架。原包反編譯—>篡改程式碼（加入自己的元素）—>生成新的安裝包—>重新簽名—>上架執行，App可謂是分分鐘被盜版。記得幾年前，有一群人專門將國外應用市場的App下載下來，透過逆向二次打包將廣告外掛加入到App中，在國內各大應用商店上架，賺取了大額的廣告費用。

事實上不僅僅是存在定製App的店鋪，為了騙取使用者信任並下載，很多盜版App還會在上架後刷下載量、評分及評論。因此也存在著大量刷評分、下載量的店鋪和專業團隊。

圖4 App刷評論

盜版App產業的水很深，盜版App背後的灰色產業鏈非常成熟。盜版App不僅給終端使用者帶來了傷害，也給App企業開發者帶來了極大的損失。作為企業開發者該如何防止自己的App被盜版呢？目前市場App加固技術已經非常成熟，加固技術可以保護App不被逆向，透過逆向二次打包的方式盜版一個App已不太可能，但透過找專業團隊定製高仿App的方式簡單又方便，針對這種現狀，通付盾北斗團隊建議在盜版App監測上投入時間，監測到盜版App及時進行下架處理，儘可能減少損失。下文重點描述如何在市場上監測盜版App。

一般盜版App與正規App的名稱、圖示以及功能體驗等都十分相近，大多數使用者很難辨別。同時國記憶體在幾十個應用商店，再加上各類論壇、小網站、非法盜版網站，App的分發渠道眾多，還有很大一部分盜版App在國外，盜版App的監測難上加難。目前就算髮現了盜版 App，也難以處置。在正規應用商店上發現的盜版App處理下架還算容易，如果是自己建立的分發渠道，要下架處置就不容易了。

基於以上難題，盜版App監測需要依賴自動化掃描程式24小時不間斷掃描各類應用商店、分發渠道，監測是否出現同名稱、同包名、圖示相似、功能相似App，最關鍵的是檢測開發者證書指紋是否與正版App開發者證書指紋一致，若指紋不一致，但同名稱、同包名這一定是個盜版App， 這也是最有效的判定方式，詳細原理將在下文中介紹。下表列出了國內常見的應用分發渠道。

表1 常見應用分發渠道

要理解如何正確判斷App是否為盜版，需要先理解一個正規App釋出上架前要做好哪些準備。

Android App以它的包名(packageName)作為唯一標識，如果在同一部手機上安裝兩個包名相同的App，後者就會覆蓋前面安裝的應用。為了避免Android App被隨意覆蓋，Android要求對App進行簽名

。Android系統也不允許安裝一個未被簽名的App，這一點很重要，App簽名的過程實際上也是開發者在證明這個App是我開發的（雖然有被二次簽名的風險，本文先不討論這類情況）。

Android使用Java數字證書相關的機制來給App加蓋數字證書，數字證書的私鑰則保留在App開發者手中，數字證書的公鑰以及簽名信息、證書指紋被打包進了App中。重點來了，證書指紋是判斷盜版的關鍵依據，證書指紋在數字證書生成的時候就被確定，同時經過證書私鑰簽名，私鑰被保留在App開發者手中，因此想要偽造App中的證書指紋幾乎是不可能的。

實際上App的簽名過程就是PKI技術的應用，App大致簽名原理如下。

1

。計算App安裝包（Apk）中資料檔案，形成資訊摘要。

圖5 形成資訊摘要

2

。利用證書私鑰對資訊摘要簽名。

圖6 數字簽名

3

。將數字簽名、證書公鑰資訊、證書指紋附在Apk檔案中，證書私鑰保留在開發者手中。

圖7 完成簽名

App完成簽名後就能正常釋出到應用市場，供使用者下載安裝。手機安裝時會對App各類簽名信息、證書資訊逐一進行驗證，沒有被篡改或破壞則安裝成功。

結論

：

App的包名和證書指紋能唯一確定一款App

。

透過上文核心原理介紹，不難理解App盜版監測的核心就是App證書指紋、App應用名稱、App包名的比對驗證，其中App證書指紋起關鍵性作用，再借助自動化掃描程式24小時不間斷掃描全網各類應用商店、分發渠道就能完成App渠道監測任務。下表給出了盜版、相似應用的判斷邏輯。

表2 盜版、相似應用的判斷邏輯

通付盾雲渠道監測

覆蓋超過500家應用釋出渠道，包括第三方應用市場、論壇等方式。該服務從渠道分佈、應用版本及其盜版率、下載量、盜版渠道來源等多方面對App應用進行實時監測，並對獲取的資訊進行全方位深入分析，最終將分析資料形成完備的監測報告。開發者可以透過通付盾雲渠道監測服務第一時間發現盜版應用，針對性地進行處置。

圖8 渠道監測服務效果展示

近日，通付盾雲對新註冊使用者提供了優惠服務，完成註冊即能免費享受渠道監測服務

1

次及其他安全合規產品線安全檢測加固服務

2

次、灰應用檢測服務

1

次。

★

通付盾雲渠道監測服務

★