专访高磊:安卓APK安全加固的引领者

时间:2021-01-26 22:56:18

高磊,爱加密CEO,安卓巴士版主之一,曾编写河南省某地市交通信息化规划十二五规划,以及参与省厅级资源共享平台设计等。之前的工作经理积累了丰富的设计规划经验,此外还具有J2EE和 Android开发经验。后期专注于移动互联网,关注安卓应用安全,组建了爱加密团队。

专访高磊:安卓APK安全加固的引领者

(APKBUS配图)

APKBUS:您好,很高兴可以进行此次访谈,请介绍下您自己(包括学习背景、工作经验)。

高磊:高磊,今年25岁,来自河南郑州,毕业于郑州大学。具有丰富了信息化建设和规划经验,曾编写河南省某地市交通信息化规划十二五规划,以及参与省厅级资源共享平台设计等。之前的工作经理积累了丰富的设计规划经验,此外还具有J2EE和 android开发经验。后期专注于移动互联网,关注安卓应用安全,组建了爱加密团队,现担任爱加密CEO。

APKBUS:据了解,您之前是安卓巴士的版主,和巴士的渊源挺深的啊,当时您是怎么加入巴士的版主队伍的?对现在的版主有什么意见或建议么?

高磊:说起安卓巴士确实和我渊源很深,我2010年就和王子(安卓巴士站长)认识,记得当时王子在群里发安卓巴士宣传,我马上被吸引住了就和他聊了起来,共同探讨了android的发展趋势,安卓巴士的发展建议等,当时我提建议安卓巴士要大力鼓励巴友发表原创内容,建立教程专区等,为巴士的发展也提供了不少的意见和建议,随后我也就成为了巴士的版主之一。

记得当初在当版主的时候经常和巴友互动,分享知识,泡在论坛。分享一些开发案例,和巴友共同熬夜盖楼抢礼品,那份感觉真的再也没找到,巴士是我最喜欢的论坛,没有之一。

至于对现在版主们的建议,那就是以身作则,多给大家分享知识和互动,因为分享是一种快乐。其次是多给巴士提些建设性意见,让巴士发展的更好。

APKBUS:毕业没多久,你已经成功的创立了“爱加密”,您是什么时候有创业的想法的?创业中觉得最有意义的事情是什么?

高磊:说起创业或许在每个人心中都会有过这个想法,但是实际走出后你会发现你和想象中的创业完全是两回事。每天的熬夜加班,各种困难,来自家庭的压力等等,很容易让你产生放弃的念头。我是在2012年底和彭瀛(智游网安CEO)的一次聊天萌生了创业的念头。那天晚上我们一起吃饭,他用的iphone,我用的HTC。我们聊到了应用方面现在盗版真多,我还被扣过费,在此之前我也了解一些安全方面的知识。我就说起是不是可以做个保护平台,从而保护APP不被破解,越聊越多,突然间我们感觉到这是很大一个市场,因为这块基本上是个空白,感觉如果所有上市场的APP都能够打上爱加密的烙印,那该是多么伟大的一件事。爱加密这个产品也就在那个晚上打在了我们的脑海里。

如果说创业中最有意义的事情是什么,那就是和团队共同努力解决某个问题后的感觉,因为你可以感觉到不是你一个人在战斗,而是有人支持着你。有时候我会很沮丧,但是想到我的兄弟们,我就没法选择逃避,人都是靠逼出来的,这句话真的没错,没有大的压力就难有大的成就。

APKBUS:爱加密作为智游网安的主打项目,你对公司未来的发展是如何看待的?

高磊: 智游网安作为一家新兴的移动互联网公司,孕育出了很多优秀产品,像智游防盗,智游推送等,爱加密能够成为公司的重点项目,首先我是很兴奋的。目前网安的估值已经超过3亿元,你可能无法相信,这里面的大部分员工都是年轻人,因为彭瀛相信新的思想,新的力量才能创造未来。年轻人可能没经验,但是思想不受制约,更有拼劲,这才是一个创业公司成功的根本。

APKBUS:“爱加密”对软件安全的相关技术要求很高啊,您是什么时候开始接触Android软件安全这方面的?

高磊:说起安全行业的确技术要求很高,说实话我算不上专家,因为圈内有很多从事这方面研究的工程师,或者黑客等,他们真才真正是这个领域的弄潮儿。安卓平台作为移动应用发展的重要推手,快速发展的同时,开放性也导致了盗版应用产业的迅速发展。在利益驱使下,很多开发者开始从事这个行业,通过二次打包移动应用牟利。

我从12年开始了解安卓安全方面知识,因为我之前是做java web以及安卓应用层的东西,所以对底层并不是很了解,自己尝试读了一些书,看了下linux,不过自己仍然和高手们有很大的差距。不过,幸运的是我们团队有多名底层和安卓系统层的高手,是我们的共同的汗水铸就了爱加密的成功推出。

APKBUS:据知,爱加密为开发者提供的应用开发、上线运营等服务都是免费的,会一直免费下去么?

高磊:爱加密对于普通开发者来说以及小团队将永远免费,因为同样作为开发者我深刻的知道一款应用或游戏开发的艰难,或许一千块钱对于某个人或团队都是很重要的,所以爱加密承诺为个人开发者或小团队免费加固服务。我们会对大的企业收取加密之外的服务费用,如安全分析,技术支持,定制保护等。智游网安推出爱加密的另外一个主要原因是希望通过爱加密帮助解决安卓平台混乱的局面,保护广大开发者和公司的正版权益,逐渐实现整个行业的正版化。

APKBUS:您对安全技术方面的研究有深入的研究,对Android加密机制也有很深的了解,爱加密是怎样保证APK安全的?爱加密与同类产品相比有什么特色?

高磊:首先我想说:永远没有绝对的安全。爱加密在努力在多个方面提供加密保护,从安卓应用的结构来说,dex文件是最重要、最需要保护的,因为dex中存放了代码的信息,如果是一个没有做过任何保护的APK,开发者通过使用dex2jar和jd-gui简单几步就可以查看到源码,这对于很多开发者来说就是噩梦。所以爱加密对dex做了专业的保护。通过使用加壳技术,对dex文件做了一层保护壳,这样破解者就无法通过正常手段反编译出代码文件,从而保护代码的安全。除此之外,爱加密对资源文件、XML、签名都做了保护,一旦有人修改替换资源文件中的图片、音频,或者在manifest文件中加入其他service、增加权限等都无法再次打包运行,也就是说一旦你修改了APK文件中的任何东西,打包后都无法再正常运行了。爱加密近期更推出了SO文件保护功能,这样很多游戏和应用的核心代码将更安全,SO文件本身很难被破解,但是通过使用国外的破解软件依然会暴露在破解者的面前,包括通讯协议、加密方法、核心算法等。

国内外也有几家和爱加密类似的服务商,我们的目标都一致那就是为了改变整个盗版市场的现状,保障开发者的应有收益。我们团队一直遵循《黑客与画家》中的一句话“如果你想在软件业获得成功,就使用你知道的最强大的语言,用它解决你知道的最难的问题,并且等待竞争对手的经理做出自甘平庸的选择。”所以爱加密从创立之初就一直不断的寻求新的突破点,推出安全检测平台,推出法务支持,每日更新渠道监测数据等,爱加密现在提供的不仅仅是一个源代码的安全保护,而是APP安全的全套服务。

APKBUS:Android系统安全,保护的数据隐私是用户一直关注的问题,但现在大量的第三方定制ROM提供了root 权限管理工具,遇到root后那些重要、敏感、隐私的数据可能被读取。这个问题您怎么看呢?

高磊:首先我不建议大家去root,对于苹果也不建议越狱。因为你想获得高权限的同时也给恶意应用开了一扇门。安卓平台的开放性就必然导致高风险性,现在很多应用都迫切希望你ROOT,从而获取用户的大量隐私信息。但是作为开发者我还是坚信一点,做自己该做的,不作恶是一个APP健康发展的前提。

APKBUS:您觉得开发者在编译过程中,需要怎样做才能提高系统的安全性呢?

高磊:安卓应用在开发过程中有很多安全保护的方案,我简单说几种:

1.使用混淆保护,对APK代码进行基础的防护。

2.使用伪加密保护方式,通过java代码对APK(压缩文件)进行伪加密,其修改原理是修改连续4位字节标记为”PK0102”的后第5位字节,奇数表示不加密偶数表示加密。伪加密后的APK不但可以防止PC端对它的解压和查看也同样能防止反编译工具编译。

3.通过标志尾添加其他数据从而防止PC工具解压反编译,这样处理后把APK看做压缩文件的PC端来说这个文件被破坏了,所以你要对其进行解压或者查看都会提示文件已损坏,用反编译工具也会提示文件已损坏,但是它却不会影响在Android系统里面的正常运行和安装而且也能兼容到所有系统

4.验证签名信息,通过本地或网络对签名的信息进行验证。

5.使用爱加密,做个广告,哈哈。

APKBUS:随着移动应用的快速发展,安全问题被推到风口浪尖,原创APP被破解、被打包,对于移动安全和保护原创APP开发者的利益方面,您有哪些想法分享给大家?

高磊:我们可能都记得以前盗版VCD的流行。那时候盗版光盘泛滥,让很多具有版权的音像制品商无法生存,盗版的直接受害者就是版权所有者。同样盗版APP的出现让开发者和公司受到了很大打击,包括收入和名誉。很多时候或许我们都想占便宜,希望享受免费的知识,免费的图书,免费的服务.但是一旦我们作为服务方就会很痛恨这样的想法:“我辛苦的付出为什么不给我一定的回报?”所以我希望大家都能换个角度来思考这个问题,能够逐渐培养自己的版权和付费意识,现在你尊重他人的成果,将来他人也会尊重你的成果。

APKBUS:在安全技术方面,您有没有什么意见或者建议给Android学习者?

高磊:安全是每个领域中比较重要也比较难的环节,作为安卓开发者初期还是要把基础打好,了解安卓平台的知识,随后在开发过程中一定要有安全防护的意识,不管自己的方法是否有效,但是能够有这方面的考虑是很重要的。

当然如果自己想做安全方面,我很支持,目前做应用层开发的开发者太多了,如果能够静下心学习低层知识,看下安卓源码、linux驱动、汇编等,就可以逐步进入安全工程师的行列,高薪哦!当然欢迎大家加入爱加密的团队!