一般情況下，相信大多數(shù)用戶第一個想到的都會是這款軟件的開發(fā)者。

　　不過，在北京江海沐暉科技有限公司創(chuàng)始人王磊看來，有時候APP的開發(fā)者也是有苦難言，甚至連他們自己都不知道問題究竟出在哪里。

　　“在開發(fā)APP的過程中，對于一些普遍功能模塊，開發(fā)者往往會直接使用相應的第三方插件，如果這時候混入了一些惡意插件，又沒有相應的安全監(jiān)測，開發(fā)者與運營者無形中就成了惡意插件的‘替罪羊’?！蓖趵诒硎?。

　　法治周末記者在采訪中發(fā)現(xiàn)，除了上述APP“拼裝”帶來的安全風險外，當前APP市場中還存在著大量的“二次打包”現(xiàn)象，即一些個人或公司會對比較熱門的APP進行“改裝”，加入一些廣告推送甚至竊取用戶隱私的惡意程序，以此來為自身牟利。

　　常被忽視的第三方插件

　　“如果您使用了我們的插件服務，我們就能夠告訴您，在安裝了您這款APP的用戶手機上，還安裝了其他哪些APP?！蹦硞€提供第三方插件業(yè)務的公司曾在其宣傳中如是說。

　　王磊見到這一情形時，心里馬上就升起了疑問——這個第三方插件公司獲取上述信息時用戶究竟是否知情?它把這些數(shù)據(jù)透露給自己的企業(yè)用戶是否合理?

　　王磊認為，雖然不能認定它會把獲取的相關(guān)用戶信息用來非法牟利，但是至少這類第三方插件公司有機會從事此類活動，并且如果它不主動告知同其合作的APP開發(fā)者，對方也很可能會不知情。

　　“整個APP生態(tài)鏈可分為開發(fā)、推廣和運營三個環(huán)節(jié)?！本W(wǎng)上交易保障中心副主任喬聰軍告訴法治周末記者，“大家更多注意到的是后二個環(huán)節(jié)的問題，對于上游的第一環(huán)節(jié)，關(guān)注的人并不是很多，那就是拼裝插件?！?

　　據(jù)喬聰軍介紹，早期所有APP都是項目式的定制開發(fā);后來出現(xiàn)了一些模板式的APP生成，但可供自定義的范圍還十分狹窄;發(fā)展到現(xiàn)在，有越來越多的APP是用標準化的功能模塊快速拼裝出來的。這些模塊包括圖文、交易、社交分享、導航、權(quán)限、用戶評論等，多達上百種。

　　“有不法商家就會這些插件中偷偷加入惡意代碼，偷偷進行信息搜集、扣費、分發(fā)廣告等不法行為?！眴搪斳姳硎?。

　　易觀國際[微博]高級分析師王珺在接受法治周末記者采訪時表示，APP開發(fā)者為了實現(xiàn)自己產(chǎn)品的部分功能，經(jīng)常會用到第三方插件，當前幾乎90%以上應用都需要和其他開放平臺合作，插入其提供的插件，不過惡意插件畢竟是少數(shù)。

　　王磊則認為，即便如此，隨著APP“拼裝”的日趨流行，由第三方插件所帶來的安全隱患問題也應開始得到重視。

　　“尤其對于一些免費推廣的插件要特別提起注意?！蓖ǜ抖芄径麻L兼CEO汪德嘉博士告訴法治周末記者，“有些惡意插件往往打著不收費的幌子，背后偷偷做一些動作，隱藏加入某些吸費、騙取流量、竊取隱私等惡意程序?！?

　　“二次打包”大量存在

　　金山毒霸反病毒工程師李鐵軍在接受法治周末記者采訪時表示，APP“拼裝”有風險，不過目前明確觀察到的惡意APP插件仍是少數(shù)，但是“二次打包”帶來的問題卻早已普遍存在。

　　李鐵軍表示，在APP市場中存在著大量的被業(yè)內(nèi)人士稱為“打包黨”的人(或公司)，他們的日常工作就是尋找互聯(lián)網(wǎng)上最熱門的應用，對其拆包后插入一些自己想要分發(fā)的東西再重新拼裝起來，最后把這些“二次打包”的軟件再重新發(fā)布到市場中去。

　　據(jù)了解，“打包黨”會在破解某一APP后，加入病毒、廣告鏈或吸費指令等惡意程序。像保衛(wèi)蘿卜、植物大戰(zhàn)僵尸、水果忍者等火爆APP，都曾遭遇過二次打包。用戶一旦誤下并使用了此類APP，大多都會遭遇頻繁的廣告騷擾、流量損失，嚴重的還可能被竊取密碼與個人隱私等。

　　國內(nèi)較早從事APP加密產(chǎn)業(yè)的梆梆安全副總裁趙宇此前曾公開表示，在暴利的驅(qū)使下，“二次打包”的灰色產(chǎn)業(yè)鏈早已迅速形成，一個10人的此類團隊可以在一個月內(nèi)靠病毒打包純賺150萬元。

　　“我們收集到的所有安卓程序的樣本總量超過了2000萬個，如果不是由于此類的盜版或山寨軟件的流入，總量絕不會有這么多?！崩铊F軍表示，“之前我們也專門分析過一些國內(nèi)比較流行的安卓游戲應用，基本大部分的軟件包都是被重新打包過的?！?

　　在王磊看來，由于“二次打包”的技術(shù)門檻不高，因此早已泛濫成災并一直都沒有得到有效治理。一方面消費者因此“受難”，另一方面軟件開發(fā)者眼看著自己辛辛苦苦開發(fā)的軟件被別人山寨后去牟利，也是有苦難言。

　　“更嚴重的是，用戶在誤下并使用了經(jīng)過‘二次打包’的軟件后，一旦遭遇損失，大多數(shù)軟件開發(fā)者還都難逃‘背黑鍋’的厄運，備受由此帶來的非議。”王磊表示。

　　加固技術(shù)反被黑客利用

　　喬聰軍告訴法治周末記者，對于APP“拼裝”問題，開發(fā)者有義務自行開發(fā)或選擇組合不含惡意代碼的插件;運營者則需要建立完善的管理體系，包括開發(fā)方的資質(zhì)審核、誠信記錄，進行安全檢測并受理投訴、下架追償?shù)取?

　　李鐵軍認為，APP上市前的安全監(jiān)測尤為必要，同時也需要通過安全加固技術(shù)等措施，增強APP反盜版能力，以此對抗“二次打包”的惡意行為。

　　“安全加固是指在APP進入應用市場之前，對APP客戶端進行加密、加殼保護，對抗逆向工程、代碼注入等黑客行為?！蓖舻录伪硎尽?

　　汪德嘉進一步分析表示，目前市場上提供的大部分安全加固方案，都是這種對待加固的應用進行加殼、加密操作，但這種方式只是移動安全的第一步，事實上也是最脆弱的一步，這種安全加固方式只能對抗靜態(tài)分析和簡單的逆向工程。

　　“這也要求我們不斷提升安全加固的技術(shù)水平，同時配合動態(tài)簽名的方式，實時檢查程序的完整性，以杜絕惡意程序的動態(tài)注入?！蓖舻录握J為。

　　而就在安全加固技術(shù)進一步得到重視的同時，惡意程序加固的問題也開始展露端倪。

　　國家互聯(lián)網(wǎng)應急中心何能強博士在此前的《2014中國網(wǎng)絡(luò)安全論壇》上公開表示，2014年監(jiān)測到的互聯(lián)網(wǎng)上加固的安全應用程序超過7萬個，惡意程序有7000多個。

　　據(jù)何能強介紹，2012年上半年，國家互聯(lián)網(wǎng)應急中心曾接到過的一個關(guān)于仿冒微信客戶端的舉報事件，該惡意程序就是經(jīng)過加固的。

　　“從該案例中不難看出，應用程序的加固本意是好的，是防止應用程序被篡改和攻擊，但是這種正當?shù)募夹g(shù)已經(jīng)被黑客濫用了，他們把這些加固技術(shù)用到惡意程序里面，來對抗安全檢測?！焙文軓娬J為。

　　何能強表示：“以后主管部門應該對提供加固的公司進行嚴格管理，禁止這些公司向惡意程序公司提供加固服務?！?

　　“APP的正規(guī)開發(fā)者與惡意開發(fā)者之間永遠都會存在交鋒，想要解決這一問題，最好的出路仍是要不斷尋求技術(shù)上的超越與提升?！蓖醅B告訴法治周末記者。