爸爸：女兒給我充點(diǎn)話(huà)費(fèi)？

女兒：好，盡個(gè)孝心。

然后，你打開(kāi)某運(yùn)營(yíng)商 App ，啪，成功充值，但是你爸怎么也沒(méi)收到這筆充值。

這是怎么回事？

是的，很遺憾，你可能給別人充值了。但是，叫天天不應(yīng)，叫地地不靈，運(yùn)營(yíng)商也沒(méi)收到你這筆錢(qián)。

專(zhuān)注移動(dòng)應(yīng)用安全的娜迦信息公司 CTO 閻文斌（花名：玩命）告訴正在閱讀的讀者你，不要不相信，這是最近一年來(lái)支付、游戲行業(yè) App 最常見(jiàn)的 bug 。

【閻文斌在2017中國(guó)移動(dòng)支付年會(huì)上】

一款 App 如何安全地來(lái)到你面前

這是支付行業(yè)最敏感的地帶，在 2017 移動(dòng)支付年會(huì)的演講中，他沒(méi)好意思當(dāng)眾揭傷疤，只好在采訪(fǎng)中和雷鋒網(wǎng)提出了這一現(xiàn)象。

除了上面這種和人們息息相關(guān)的漏洞。在游戲行業(yè)，有些可以使用虛擬金幣的游戲 App，在程序設(shè)計(jì)時(shí)被預(yù)留了一些接口，這些接口一旦被黑客發(fā)現(xiàn)，就可以做外掛、刷金幣。

每個(gè) App 都不一樣，但多多少少會(huì)有可利用的點(diǎn)，能夠達(dá)到不公平的效果，尤其像金幣這些東西。以前我和廠(chǎng)商說(shuō)過(guò)，我們只是不想搞，這種東西是沒(méi)錢(qián)搞的，太累了，不想花時(shí)間在這上頭，但是我們只要想花，你們沒(méi)有任何一款東西能防得住我們。

只要你敢把自家的 App 拿給玩命試一試，在網(wǎng)絡(luò)安全江湖闖蕩近 10 年，曾擔(dān)任 2008 奧運(yùn)會(huì)網(wǎng)絡(luò)安全技術(shù)顧問(wèn)的他就敢開(kāi)干，攻下你家看似嚴(yán)絲密合的“堡壘”。

玩命太了解 App 的薄弱地帶了，正因?yàn)樘私夤羰侄危运畔胍芯咳绾谓o App 穿上鎧甲，走向明槍暗箭的戰(zhàn)場(chǎng) 。

在一款 App 正式上戰(zhàn)場(chǎng)前，玩命和他技術(shù)團(tuán)隊(duì)會(huì)先對(duì) App 進(jìn)行一次“全面體檢”，就像入職一家新公司，你需要交一份體檢報(bào)告，只不過(guò)玩命做的并非提交體檢報(bào)告，而是在App 要被相關(guān)機(jī)構(gòu)檢閱，能提交合格的體檢報(bào)告前先為 App 查漏補(bǔ)缺；或者在一款 App 版本迭代時(shí)，實(shí)時(shí)跟進(jìn)檢測(cè)，充當(dāng)忠實(shí)的衛(wèi)兵。

玩命采用靜態(tài)和動(dòng)態(tài)相結(jié)合方式針對(duì)客戶(hù)端 App 進(jìn)行分析。

所謂靜態(tài)分析，就是分析應(yīng)用源代碼中存在的安全風(fēng)險(xiǎn)，檢測(cè)包含 Android 組件安全、應(yīng)用程序安全、數(shù)據(jù)安全；

動(dòng)態(tài)分析，就是運(yùn)行應(yīng)用于安卓模擬器中，檢測(cè)包含客戶(hù)端自身安全，Android 組件增強(qiáng)檢測(cè)，應(yīng)用通信安全，數(shù)據(jù)安全。動(dòng)態(tài)分析還要模擬用戶(hù)和手機(jī)交互行為，檢測(cè)交互過(guò)程中應(yīng)用存在的通信安全風(fēng)險(xiǎn)，抓取應(yīng)用通信過(guò)程中的資源地址，檢測(cè)應(yīng)用與服務(wù)器通信接口是否存在 SQL 注入，XSS 跨站，中間人攻擊等安全問(wèn)題。

靜態(tài)分析就像解剖，研究 App 的程序編寫(xiě)是否規(guī)范，審核相應(yīng)權(quán)限，它也像新手學(xué)車(chē)，先在駕校操練，沒(méi)有面對(duì)車(chē)水馬龍、真槍實(shí)彈的環(huán)境。

對(duì)玩命而言，動(dòng)態(tài)分析才是“練車(chē)”的關(guān)鍵：把 App 放在電腦虛擬機(jī)和真實(shí)手機(jī)兩個(gè)環(huán)境中“演練”，考察是否其是否能在真實(shí)的環(huán)境中正常運(yùn)行，安全通信。

但是，動(dòng)態(tài)分析會(huì)消耗極大的資源，因此，對(duì)玩命而言，目前大量開(kāi)展的還是利用自家服務(wù)器進(jìn)行線(xiàn)下部署。

除了讓 App 能夠以符合標(biāo)準(zhǔn)的姿態(tài)面對(duì)這個(gè)槍林彈雨的市場(chǎng)，對(duì)待一些銀行、游戲領(lǐng)域的 App ，玩命還要為其加固，套上一層又一層的鎧甲。

在 2016 年的 XPwn 未來(lái)安全探索盛會(huì)上，一個(gè)黑客團(tuán)隊(duì)對(duì)國(guó)內(nèi) 20 家銀行提供給消費(fèi)者的、基于安卓系統(tǒng)的 20 個(gè)手機(jī)銀行 App 進(jìn)行攻擊，發(fā)現(xiàn) 17 家銀行的 App 存在漏洞，消費(fèi)者的手機(jī)一旦被黑，無(wú)論轉(zhuǎn)賬給“張三”還是“李四”，在輸入正確賬號(hào)與密碼的情況下，錢(qián)最終都會(huì)轉(zhuǎn)給“王五”。

在該會(huì)議上，攻擊者還表示，全國(guó) 90 %多的銀行 App 都可被劫持，由此可見(jiàn)，互聯(lián)網(wǎng)金融漏洞對(duì)用戶(hù)造成影響。所以，當(dāng)時(shí)會(huì)上專(zhuān)家建議廠(chǎng)商能夠避免 App 中存在低級(jí)錯(cuò)誤，重視產(chǎn)品加固，重視邏輯漏洞，不定時(shí)的進(jìn)行滲透測(cè)試。

玩命的煩惱

在娜迦的官網(wǎng)上，雷鋒網(wǎng)發(fā)現(xiàn)了近 20 種加固種類(lèi)。雷鋒網(wǎng)宅客頻道的編輯很疑惑：這么多服務(wù)項(xiàng)目，到底哪些才是玩命主推的項(xiàng)目？

玩命坦誠(chéng)地告訴雷鋒網(wǎng)，

很多很多，但是很多我們后來(lái)都放棄了，因?yàn)榻逃杀咎吡?。技術(shù)好實(shí)現(xiàn)，更難的是，教育用戶(hù)這段時(shí)間很難，用戶(hù)市場(chǎng)不接納。

用戶(hù)為什么不接納？一是涉及到 App 安全加固項(xiàng)目，尤其是金融類(lèi)，服務(wù)對(duì)象相當(dāng)謹(jǐn)慎；二是有些項(xiàng)目實(shí)在很難解釋?zhuān)退闶墙?jīng)過(guò)專(zhuān)業(yè)技術(shù)培訓(xùn)的銷(xiāo)售人員，除非直接派出純技術(shù)研發(fā)人員。

于是，很多不錯(cuò)的加固項(xiàng)目不得不在“性?xún)r(jià)比”下被舍棄。

玩命還有一個(gè)煩惱，自己是“出賣(mài)安全技術(shù)而生”，是一家安全技術(shù)公司，而非提倡“免費(fèi)”的互聯(lián)網(wǎng)公司。

玩命說(shuō)，

如果論打架，我們沒(méi)在怕的，就是防御力不敢說(shuō)，因?yàn)榇蠹叶际遣畈欢嗟漠a(chǎn)品嘛，你自吹自擂就沒(méi)意思了。

這些都屬于“防守”范疇。一個(gè)嚴(yán)峻的形勢(shì)是，如果大家產(chǎn)品真的都“差不多”，壓價(jià)怎么辦？

在這種情況下，一些大型的互聯(lián)網(wǎng)公司也有相應(yīng)的提供安全服務(wù)的部門(mén)，他們不以此技術(shù)為生，可能僅服務(wù)自己的企業(yè)。

比如，它也做加固市場(chǎng)，就是維護(hù)一個(gè)小團(tuán)隊(duì)去來(lái)做這塊，服務(wù)于自己的市場(chǎng)或開(kāi)發(fā)部門(mén)就行了，但我們就是自己要去拼這個(gè)企業(yè)市場(chǎng)，一定要拿下某個(gè)單子時(shí)，這個(gè)市場(chǎng)上就會(huì)出現(xiàn)可怕的壓價(jià)行為，這個(gè)東西本身價(jià)值一萬(wàn)元，現(xiàn)在賣(mài)一百，按正常來(lái)講我就不服務(wù)來(lái)了，但是我們這個(gè)行業(yè)不服務(wù)還不行，你不服務(wù)，別人會(huì)服務(wù)，并不利于安全企業(yè)的生存與發(fā)展。

“把一個(gè)2B 的市場(chǎng)做成一個(gè)走量的市場(chǎng)，它現(xiàn)在肯定是畸形的?！蓖婷袊@。

玩命的實(shí)驗(yàn)

在玩命的煩惱下，有一個(gè)優(yōu)勢(shì)，他從未忘記過(guò)。

娜迦公司的創(chuàng)始人團(tuán)隊(duì)都是做技術(shù)出身，他們很了解安全研發(fā)或者檢測(cè)人員自身的需求，雖然玩命多次強(qiáng)調(diào)，就這個(gè)領(lǐng)域而言，甚至稱(chēng)不上“市場(chǎng)”，只能說(shuō)是小眾的需求。

比如，一個(gè)成熟的逆向人員平時(shí)工作量很大，技術(shù)要求高。而且，培養(yǎng)一名逆向人員的成本比開(kāi)發(fā)人員高，有沒(méi)有可能讓初級(jí)的逆向人員能迅速做到和成熟逆向人員一樣的事情？

玩命和團(tuán)隊(duì)成員試圖為這部分人員研發(fā)一款輔助工具——自動(dòng)逆向輔助工具。

一個(gè)白帽子分析一個(gè)目標(biāo)，可能出于兩種目的：

1.純研究功能如何實(shí)現(xiàn)、支付規(guī)則等，但是原始的匯編代碼實(shí)在太多，上千類(lèi)別，一時(shí)間根本找不到要的東西，如何撇開(kāi)無(wú)用的部分，找到最關(guān)鍵的線(xiàn)頭？

2.找bug。一個(gè)逆向人員挖漏洞，從輸入到結(jié)尾，數(shù)據(jù)流怎么走，支付發(fā)到服務(wù)器，要做哪些東西？如何找到一個(gè)關(guān)鍵點(diǎn)來(lái)修改？

黑客的藝術(shù)包括兩個(gè)：第一，劫持，第二，篡改。無(wú)論找什么 bug，主要考慮如何劫持它，在哪劫持它，這是最主要的，其次再考慮如何修改它，修改成什么。所以，開(kāi)發(fā)這項(xiàng)工具最主要的目的是把主線(xiàn)梳理出來(lái)，讓逆向人員可以順著這條主線(xiàn)，來(lái)找需要的點(diǎn)。

雖然，這款工具還需要幾個(gè)月才能上市，但玩命已經(jīng)在娜迦內(nèi)部開(kāi)始試用，比如，在為某個(gè)客戶(hù)服務(wù)防盜鏈時(shí)，玩命需要研究當(dāng)前已經(jīng)對(duì)該客戶(hù)造成影響的 App。這次，應(yīng)用自己研發(fā)出來(lái)的“武器”，他派出去“作戰(zhàn)”的就可以是“經(jīng)驗(yàn)不那么豐富的人”。

也許，這款看起來(lái)受眾面不是那么大的工具，正是玩命的一塊試驗(yàn)田，這個(gè)自認(rèn)為“攻無(wú)不克”、攻擊力極強(qiáng)的 CTO 相當(dāng)了解他所屬的這個(gè)人群需要什么，他的實(shí)驗(yàn)?zāi)芊癯晒?？未?lái)娜迦是否還會(huì)按照這個(gè)思路走，研發(fā)出“打架、防御都不怕”，同時(shí)還能不讓他這么煩惱“拼走量市場(chǎng)”的工具？值得期待。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。