大数据、云计算与移动互联网时代,互联网信息安全问题更加凸显,特别是近期一系列网络信息安全事件的发生,为全球用户敲响了警钟,引起各国高度重视。9月23日,3013中国互联网安全大会在京举行,国内外近百位信息安全专家齐聚一堂,通过50场的专题演讲,共同探讨互联网最新安全技术与解决方案。
软件安全是整个互联网信息安全的基石,包括安全编程、密码学、软件保护等多个方面。一款软件研发除了关心本身应用,还要考虑设计和应用的安全性,在软件编码、架构、数据存储各个过程当中都要求设计安全。此次大会特设软件安全分论坛,与会专家就移动互联网下软件安全热点问题进行分析探讨,以期为国产安全软件发展提出思路。
革新安卓软件保护技术
随着移动互联网的飞速发展,安卓平台上的应用软件日益增多。但是,由于安卓系统的开放性,这些应用软件除了存在大量安全漏洞和缺陷,容易被植入恶意代码之外,还可能被轻松地修改并二次打包,从而产生非常严重的软件盗版情况。
“此前,对安卓软件的攻击主要针对代码展开,近期已从代码转向数据和业务。”安天实验室高级研究员肖梓航介绍,当前,安卓平台的软件版权问题正面临以下威胁:对内存数据的修改,即通过八门神器、手机游侠等工具,在软件运行期间自动搜索并篡改其关键内存数据,例如修改单机游戏中的道具数量;对网络数据的修改,即通过多种工具,全自动地修改手机应用软件与服务器之间传输的数据;对本地文件的修改,例如覆盖游戏存档文件、改写软件配置文件;对应用内支付的攻击,一些软件采用了支付宝、银联等第三方应用内支付平台实现版权内容购买或者服务购买,但遭到类似iOS应用内支付的攻击,伪造支付结果来欺骗应用软件。目前,在国内的一些游戏和应用分享论坛,可以看到大量破解版软件和相应自动化工具,除了影响开发者的收益,还对整个移动产业生态链产生了不良影响。
安卓软件保护的另一类问题是恶意代码开始采用商业级的代码保护技术。肖梓航指出,安卓平台的恶意代码已经普遍采用这些保护技术来对抗反病毒软件的查杀,使得对它们的自动化分析、人工分析、检测等变得极为困难。今年开始,已经出现了一些安卓恶意代码采用在线的或收费的商业级代码保护方案。这些方案的保护技术往往属于商业机密,对安全企业来说,需要付出极大地努力对其进行逆向分析才能有效检测,还可能带来误报问题。他认为,安卓平台最近出现的一些代码运行时自修改技术可能使当前的软件保护方案出现技术性突破,并对DRM系统的架构产生影响,但这些技术也会被攻击者所使用。
肖梓航指出,目前国内已经出现了一些第三方的安卓软件保护方案,但是大部分方案都是在提供通用的代码保护能力,对应用软件的数据、业务本身的保护尚不完善。另一方面,许多保护方案都只能解决一方面或几个方面的问题,例如有的可以防止反汇编、有的可以防止重新打包,功能完整并且切实有效的方案尚未出现。因此,安卓应用软件的版权保护问题还有待引起业界重视,一同积极探索解决途径。
攻克手机游戏破解难题
同样在开放的安卓平台,大量游戏被盗版、数据篡改、山寨,这给游戏开发公司带来巨大的损失。据悉,游戏《战地3》首发即遭破解,仅一家网站就给游戏开发公司带来高达200万美元的损失。那么,这些游戏是如何被破解的,如何保护这些游戏作品?
梆梆网是国内一家移动应用安全服务提供商,梆梆网CTO陈彪介绍,在安卓平台,游戏破解比较简单,大致可以分为3种,一种是基于逆向工程,修改游戏代码,增加或者修改删除一些功能;一种是利用调试技术,相当于游戏作弊,把金币无限值修改掉;还有一种是通过覆盖存档来实现游戏修改。面对这些问题,大部分开发者还缺少完整的保护方案。
针对安卓平台上的游戏破解情况,梆梆网推出一套保护方案,提供渠道监测与应用保护服务。据介绍,开发者通过梆梆网的渠道监测服务,可以监测应用上线渠道;应用在各渠道内正版、盗版数量,版本,下载量;反馈盗版内容、形式以及盗版者及其联系方式等。以《捕鱼达人》为例,截至4月11日,梆梆平台已监测到的《捕鱼达人》盗版达449款,约占整体版本的71%。梆梆网应用保护服务则从应用程序底层进行代码加密和完整性保护,为应用程序提供多层次的保护,可以有效阻止各类添加或去除广告、修改、破解、汉化、挂马、添加病毒等盗版行为对应用的侵袭。同时,从系统底层对应用运行时存储在内存中的数据进行动态保护,同时对应用存储,在本地的数据进行加密保护,有效防止各类游戏数据修改、网络交易数据窃取。
打造数字版权保护体系
移动互联网下,移动设备越来越普及,不仅可以随时随地的阅读,屏幕尺寸更是多样化,而不断提速的网络为读者提供更丰富的图像、视频等大数据。同时,移动支付也越来越方便,移动支付宝支付、手机支付等,付费门槛的降低进一步推动电子书市场扩大。随着电子书产业快速发展,DRM数字版权管理技术日益受到重视。
DRM是电子书籍出版中最重要的技术基础之一,通过加密等技术保护电子书的安全性,保证作者和出版社得到相应的收益。北京多看科技有限公司安全研究员罗旭平介绍,目前,DRM主要应用在两大领域:电子书及电子文档,如国内外的电子书城;音视频等多媒体资源,如Apple iTunes 、Windows Media等。他表示,DRM在保护权利人的合法权益,防止非法复制和传播的同时,也不能因为加密技术降低用户体验。
那么,如何打造坚实的DRM系统?罗旭平介绍,电子书目前主流格式ePub(一个自由的开放标准),电子书有两种,一种为固定版式;一种是是流式排版。ePub和一般文字不同,加密时需要考虑多个问题,比说章节如何跳转等。另外,因为要适配多个平台,部署DRM系统要有一定的弹性风险控制,用户、书城、后台3个方面,都要有人为监控,以防恶意订单、恶意用户生成。
DRM核心部分是服务器端,分为内容服务器与授权服务器。对于服务器端DRM,罗旭平表示,要加强对密钥的管理、证书的管理等。对于DRM客户端,罗旭平举例,可以利用RSA算法(一种非对称加密算法)打造安全DRM客户端。(窦新颖)
