App打包党“疯狂”灰色产业链 普通开发者如何生存
二次打包疯狂又“任性”
2年前,张先生(化名)也跟其他开发者一样,想用自己的创意和开发技术在遍地商机的移动互联网浪潮中掘金,进而实现发家致富迎娶白富美的梦想。但是,经过几个月的加班加点开发出的APP上线刚有起色,就被打包党篡改、山寨了,很是受挫。
“我们开发团队有3个人。半年多时间开发出6款应用,其中3款上线不到一月就出现了山寨产品进行恶意竞争,另外2款也在上线不久发现遭到恶意破解,加入了插件跟广告被拿去盈利。”
张先生坦白说,后来听朋友讲“二次打包”非常容易,只要稍微懂点APP开发技术的人都可以完成,只需要搜集些热门应用,通过反编译技术进行破解拆包,然后插入一些自己想要分发的东西再重新拼装、发布即可,完全是无本生意。而且,通过这种方式可以迅速获利。于是,张先生经过艰难的选择之后,转行做起了之前自己所痛恨的“打包党”。
据悉,技术熟练的开发人员每周可二次打包3-500的应用,通过植入高分成的广告迅速上传到各大市场,供手机用户下载,借此谋取高额利益。
打包党群集安卓市场
新数据显示,Android应用数量已经突破了150万大关,Android应用在移动应用市场中成为“龙头老大”。然而,我国安卓市场应用二次打包产生山寨版本的现象十分猖獗,在Google Play排名前100位的应用中,有60%的应用出现了二次打包版本。
由于安卓系统的开源性,安卓下的App打包成本极低,在这些二次打包的安卓应用中,有知情开发者反映,最值钱的是游戏类。“游戏的安卓包可以达到5~6元1个,热门的高ARPU(每用户平均收入)游戏,单个安装激活价也比较高。”除了零成本,“二次打包”的技术门槛也很低,有时候不用组团队,一个人也能做。之前一篇报道中曾揭露,一个10人的团队可以在一个月内靠病毒打包纯赚150万元,该曝光迅速在开发者圈子内引起了讨论的热潮。
而在暴利的灰色收入产业链之外,带来的则是对整个产业生态的严重破坏。 国内专业的移动应用加密平台爱加密CTO林魏指出,APP二次打包现象不仅给普通用户带来了极大的危害,也给安卓App开发者带来了极大的困扰。对于开发者来说,耗费大量的精力和财力才得以脱颖而出的应用被剽窃,不但经济上受损害,品牌形象也可能受损失。一些好的创意跟产品往往尚未焕发光彩就已“胎死腹中” 。
更可怕的是,一些承受能力小的开发者甚至会面临灭顶之灾,难以继续在移动开发的行业中生存。在这种情况下整个行业已经开始了畸形发展。
热门APP都逃不过打包党的“魔爪”
像淘宝网、植物大战僵尸、愤怒的小鸟等火爆的APP,都无一例外遭遇过打包党的“黑手”。更让广大开发者有苦难言的是,用户在误下载并使用了经过“二次打包”的软件后,一旦遭遇损失,大多数软件开发者还得为此“背黑锅”。
技术门槛低、市场论坛审核不严、监管不到位、维权成本过高让“二次打包”行为变得越来越猖狂,而普通手机用户由于难以辨别,又带来了较高的安装使用率,更是“滋养”了这片沃土。
强监管,重防范,依法治理
国家网信办将出台App应用程序发展管理办法,用户自身也需要加强安全防范意识,共同努力促进App产业链健康发展 。
App市场的乱象早已引起监管部门的关注,App行业或将很快迎来新一轮监管 。
普通开发者如何如何“拒绝”打包党
如何对抗APP背后的“二次打包”灰色产业链?最重要的是每一个开发者都能保护好自己的开发成果,从APP本身入手,让打包党难以下手。
“ 面对二次打包不少公司都有自己的防范措施,有实力公司的APP几乎都是自己在程序内部做过处理防止其APP被二次打包,一般是采用代码混淆、花指令的方式” 某公司技术开发人员说。
林魏透漏,采用复杂、先进的技术对APP进行加密保护,从源头抵挡“二次打包”,是保护开发者的心血的有效方式。 目前apk反编译技术的“成熟”导致各种反编译拆包的工具层出不穷,简单的代码混淆已经不能阻止。
值得注意的是,目前被广泛使用的很多加密算法和协议,如MD5和SHA1已经不再满足现代手机APP的安全需求。一旦加密工作不到位,打包党就可以修改cookies、环境变量等数据输入,当基于这些不安全的数据输入做出身份验证和授权决议时,打包党仍然可以绕过开发者所做的简单安全防护而达到窃取源代码进行“二次打包”的目的。
为了给APP提供更可靠的安全防护,林魏说到,开发者可以采用更加复杂的加密方式,比如DEX加壳、键盘监听保护、so文件保护、防内存动态调试等,以便全方位保护APP安全,让“打包党”束手无策。目前包括爱加密在内的数家国内安全厂商正在为开发者提供此种服务。