爸爸：女兒給我充點話費？

女兒：好，盡個孝心。

然后，你打開某運營商 App ，啪，成功充值，但是你爸怎么也沒收到這筆充值。

這是怎么回事？

是的，很遺憾，你可能給別人充值了。但是，叫天天不應，叫地地不靈，運營商也沒收到你這筆錢。

專注移動應用安全的娜迦信息公司 CTO 閻文斌（花名：玩命）告訴正在閱讀的讀者你，不要不相信，這是最近一年來支付、游戲行業(yè) App 最常見的 bug 。

【閻文斌在2017中國移動支付年會上】

一款 App 如何安全地來到你面前

這是支付行業(yè)最敏感的地帶，在 2017 移動支付年會的演講中，他沒好意思當眾揭傷疤，只好在采訪中和雷鋒網提出了這一現象。

除了上面這種和人們息息相關的漏洞。在游戲行業(yè)，有些可以使用虛擬金幣的游戲 App，在程序設計時被預留了一些接口，這些接口一旦被黑客發(fā)現，就可以做外掛、刷金幣。

每個 App 都不一樣，但多多少少會有可利用的點，能夠達到不公平的效果，尤其像金幣這些東西。以前我和廠商說過，我們只是不想搞，這種東西是沒錢搞的，太累了，不想花時間在這上頭，但是我們只要想花，你們沒有任何一款東西能防得住我們。

只要你敢把自家的 App 拿給玩命試一試，在網絡安全江湖闖蕩近 10 年，曾擔任 2008 奧運會網絡安全技術顧問的他就敢開干，攻下你家看似嚴絲密合的“堡壘”。

玩命太了解 App 的薄弱地帶了，正因為太了解攻擊手段，所以他才想要研究如何給 App 穿上鎧甲，走向明槍暗箭的戰(zhàn)場 。

在一款 App 正式上戰(zhàn)場前，玩命和他技術團隊會先對 App 進行一次“全面體檢”，就像入職一家新公司，你需要交一份體檢報告，只不過玩命做的并非提交體檢報告，而是在App 要被相關機構檢閱，能提交合格的體檢報告前先為 App 查漏補缺；或者在一款 App 版本迭代時，實時跟進檢測，充當忠實的衛(wèi)兵。

玩命采用靜態(tài)和動態(tài)相結合方式針對客戶端 App 進行分析。

所謂靜態(tài)分析，就是分析應用源代碼中存在的安全風險，檢測包含 Android 組件安全、應用程序安全、數據安全；

動態(tài)分析，就是運行應用于安卓模擬器中，檢測包含客戶端自身安全，Android 組件增強檢測，應用通信安全，數據安全。動態(tài)分析還要模擬用戶和手機交互行為，檢測交互過程中應用存在的通信安全風險，抓取應用通信過程中的資源地址，檢測應用與服務器通信接口是否存在 SQL 注入，XSS 跨站，中間人攻擊等安全問題。

靜態(tài)分析就像解剖，研究 App 的程序編寫是否規(guī)范，審核相應權限，它也像新手學車，先在駕校操練，沒有面對車水馬龍、真槍實彈的環(huán)境。

對玩命而言，動態(tài)分析才是“練車”的關鍵：把 App 放在電腦虛擬機和真實手機兩個環(huán)境中“演練”，考察是否其是否能在真實的環(huán)境中正常運行，安全通信。

但是，動態(tài)分析會消耗極大的資源，因此，對玩命而言，目前大量開展的還是利用自家服務器進行線下部署。

除了讓 App 能夠以符合標準的姿態(tài)面對這個槍林彈雨的市場，對待一些銀行、游戲領域的 App ，玩命還要為其加固，套上一層又一層的鎧甲。

在 2016 年的 XPwn 未來安全探索盛會上，一個黑客團隊對國內 20 家銀行提供給消費者的、基于安卓系統(tǒng)的 20 個手機銀行 App 進行攻擊，發(fā)現 17 家銀行的 App 存在漏洞，消費者的手機一旦被黑，無論轉賬給“張三”還是“李四”，在輸入正確賬號與密碼的情況下，錢最終都會轉給“王五”。

在該會議上，攻擊者還表示，全國 90 %多的銀行 App 都可被劫持，由此可見，互聯(lián)網金融漏洞對用戶造成影響。所以，當時會上專家建議廠商能夠避免 App 中存在低級錯誤，重視產品加固，重視邏輯漏洞，不定時的進行滲透測試。

玩命的煩惱

在娜迦的官網上，雷鋒網發(fā)現了近 20 種加固種類。雷鋒網宅客頻道的編輯很疑惑：這么多服務項目，到底哪些才是玩命主推的項目？

玩命坦誠地告訴雷鋒網，

很多很多，但是很多我們后來都放棄了，因為教育成本太高了。技術好實現，更難的是，教育用戶這段時間很難，用戶市場不接納。

用戶為什么不接納？一是涉及到 App 安全加固項目，尤其是金融類，服務對象相當謹慎；二是有些項目實在很難解釋，就算是經過專業(yè)技術培訓的銷售人員，除非直接派出純技術研發(fā)人員。

于是，很多不錯的加固項目不得不在“性價比”下被舍棄。

玩命還有一個煩惱，自己是“出賣安全技術而生”，是一家安全技術公司，而非提倡“免費”的互聯(lián)網公司。

玩命說，

如果論打架，我們沒在怕的，就是防御力不敢說，因為大家都是差不多的產品嘛，你自吹自擂就沒意思了。

這些都屬于“防守”范疇。一個嚴峻的形勢是，如果大家產品真的都“差不多”，壓價怎么辦？

在這種情況下，一些大型的互聯(lián)網公司也有相應的提供安全服務的部門，他們不以此技術為生，可能僅服務自己的企業(yè)。

比如，它也做加固市場，就是維護一個小團隊去來做這塊，服務于自己的市場或開發(fā)部門就行了，但我們就是自己要去拼這個企業(yè)市場，一定要拿下某個單子時，這個市場上就會出現可怕的壓價行為，這個東西本身價值一萬元，現在賣一百，按正常來講我就不服務來了，但是我們這個行業(yè)不服務還不行，你不服務，別人會服務，并不利于安全企業(yè)的生存與發(fā)展。

“把一個2B 的市場做成一個走量的市場，它現在肯定是畸形的?！蓖婷袊@。

玩命的實驗

在玩命的煩惱下，有一個優(yōu)勢，他從未忘記過。

娜迦公司的創(chuàng)始人團隊都是做技術出身，他們很了解安全研發(fā)或者檢測人員自身的需求，雖然玩命多次強調，就這個領域而言，甚至稱不上“市場”，只能說是小眾的需求。

比如，一個成熟的逆向人員平時工作量很大，技術要求高。而且，培養(yǎng)一名逆向人員的成本比開發(fā)人員高，有沒有可能讓初級的逆向人員能迅速做到和成熟逆向人員一樣的事情？

玩命和團隊成員試圖為這部分人員研發(fā)一款輔助工具——自動逆向輔助工具。

一個白帽子分析一個目標，可能出于兩種目的：

1.純研究功能如何實現、支付規(guī)則等，但是原始的匯編代碼實在太多，上千類別，一時間根本找不到要的東西，如何撇開無用的部分，找到最關鍵的線頭？

2.找bug。一個逆向人員挖漏洞，從輸入到結尾，數據流怎么走，支付發(fā)到服務器，要做哪些東西？如何找到一個關鍵點來修改？

黑客的藝術包括兩個：第一，劫持，第二，篡改。無論找什么 bug，主要考慮如何劫持它，在哪劫持它，這是最主要的，其次再考慮如何修改它，修改成什么。所以，開發(fā)這項工具最主要的目的是把主線梳理出來，讓逆向人員可以順著這條主線，來找需要的點。

雖然，這款工具還需要幾個月才能上市，但玩命已經在娜迦內部開始試用，比如，在為某個客戶服務防盜鏈時，玩命需要研究當前已經對該客戶造成影響的 App。這次，應用自己研發(fā)出來的“武器”，他派出去“作戰(zhàn)”的就可以是“經驗不那么豐富的人”。

也許，這款看起來受眾面不是那么大的工具，正是玩命的一塊試驗田，這個自認為“攻無不克”、攻擊力極強的 CTO 相當了解他所屬的這個人群需要什么，他的實驗能否成功？未來娜迦是否還會按照這個思路走，研發(fā)出“打架、防御都不怕”，同時還能不讓他這么煩惱“拼走量市場”的工具？值得期待。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。