專訪高磊：安卓APK安全加固的引領者

  高磊，愛加密CEO，安卓巴士版主之一，曾編寫河南省某地市交通訊息化規劃十二五規劃，以及參與省廳級資源共享平臺設計等。以前的工做經理積累了豐富的設計規劃經驗，此外還具備J2EE和 Android開發經驗。後期專一於移動互聯網，關注安卓應用安全，組建了愛加密團隊。

 

（APKBUS配圖）

 

    APKBUS：您好，很高興能夠進行這次訪談，請介紹下您本身（包括學習背景、工做經驗）。

 

 

    高磊：高磊,今年25歲,來自河南鄭州，畢業於鄭州大學。具備豐富了信息化建設和規劃經驗，曾編寫河南省某地市交通訊息化規劃十二五規劃，以及參與省廳級資源共享平臺設計等。以前的工做經理積累了豐富的設計規劃經驗，此外還具備J2EE和 android開發經驗。後期專一於移動互聯網，關注安卓應用安全，組建了愛加密團隊，現擔任愛加密CEO。

 

 

 

    APKBUS：據瞭解，您以前是安卓巴士的版主，和巴士的淵源挺深的啊，當時您是怎麼加入巴士的版主隊伍的？對如今的版主有什麼意見或建議麼？

 

    高磊：提及安卓巴士確實和我淵源很深，我2010年就和王子（安卓巴士站長）認識，記得當時王子在羣裏發安卓巴士宣傳，我立刻被吸引住了就和他聊了起來，共同探討了android的發展趨勢，安卓巴士的發展建議等，當時我提建議安卓巴士要大力鼓勵巴友發表原創內容，創建教程專區等，爲巴士的發展也提供了很多的意見和建議，隨後我也就成爲了巴士的版主之一。 

記得當初在當版主的時候常常和巴友互動，分享知識,泡在論壇。分享一些開發案例，和巴友共同熬夜蓋樓搶禮品，那份感受真的再也沒找到，巴士是我最喜歡的論壇,沒有之一。

至於對如今版主們的建議，那就是以身做則，多給你們分享知識和互動，由於分享是一種快樂。其次是多給巴士提些建設性意見，讓巴士發展的更好。

 

   

    APKBUS:畢業沒多久，你已經成功的創立了「愛加密」，您是何時有創業的想法的？創業中以爲最有意義的事情是什麼？

 

    高磊：提及創業或許在每一個人心中都會有過這個想法，可是實際走出後你會發現你和想象中的創業徹底是兩回事。天天的熬夜加班，各類困難，來自家庭的壓力等等，很容易讓你產生放棄的念頭。我是在2012年末和彭瀛（智遊網安CEO）的一次聊天萌生了創業的念頭。那天晚上咱們一塊兒吃飯，他用的iphone，我用的HTC。咱們聊到了應用方面如今盜版真多，我還被扣過費，在此以前我也瞭解一些安全方面的知識。我就提及是否是能夠作個保護平臺，從而保護APP不被破解，越聊越多，忽然間咱們感受到這是很大一個市場，由於這塊基本上是個空白，感受若是全部上市場的APP都可以打上愛加密的烙印，那該是多麼偉大的一件事。愛加密這個產品也就在那個晚上打在了咱們的腦海裏。

若是說創業中最有意義的事情是什麼，那就是和團隊共同努力解決某個問題後的感受，由於你能夠感受到不是你一我的在戰鬥，而是有人支持着你。有時候我會很沮喪，可是想到個人兄弟們，我就無法選擇逃避，人都是靠逼出來的，這句話真的沒錯，沒有大的壓力就難有大的成就。

 

 

    APKBUS：愛加密做爲智遊網安的主打項目，你對公司將來的發展是如何看待的？

 

    高磊： 智遊網安做爲一家新興的移動互聯網公司，孕育出了不少優秀產品，像智遊防盜，智遊推送等，愛加密可以成爲公司的重點項目，首先我是很興奮的。目前網安的估值已經超過3億元，你可能沒法相信，這裏面的大部分員工都是年輕人，由於彭瀛相信新的思想，新的力量才能創造將來。年輕人可能沒經驗，可是思想不受制約，更有拼勁，這纔是一個創業公司成功的根本。

 

 

    APKBUS：「愛加密」對軟件安全的相關技術要求很高啊，您是何時開始接觸Android軟件安全這方面的？

 

    高磊：提及安全行業的確技術要求很高，說實話我算不上專家，由於圈內有不少從事這方面研究的工程師，或者黑客等，他們真才真正是這個領域的弄潮兒。安卓平臺做爲移動應用發展的重要推手，快速發展的同時，開放性也致使了盜版應用產業的迅速發展。在利益驅使下，不少開發者開始從事這個行業，經過二次打包移動應用牟利。

我從12年開始瞭解安卓安全方面知識，由於我以前是作java web以及安卓應用層的東西，因此對底層並非很瞭解，本身嘗試讀了一些書，看了下linux，不過本身仍然和高手們有很大的差距。不過，幸運的是咱們團隊有多名底層和安卓系統層的高手，是咱們的共同的汗水鑄就了愛加密的成功推出。

 

 

    APKBUS：據知，愛加密爲開發者提供的應用開發、上線運營等服務都是免費的，會一直免費下去麼？

 

    高磊：愛加密對於普通開發者來講以及小團隊將永遠免費，由於一樣做爲開發者我深入的知道一款應用或遊戲開發的艱難，或許一千塊錢對於某我的或團隊都是很重要的，因此愛加密承諾爲我的開發者或小團隊免費加固服務。咱們會對大的企業收取加密以外的服務費用，如安全分析，技術支持，定製保護等。智遊網安推出愛加密的另一個主要緣由是但願經過愛加密幫助解決安卓平臺混亂的局面，保護廣大開發者和公司的正版權益，逐漸實現整個行業的正版化。

 

 

    APKBUS：您對安全技術方面的研究有深刻的研究，對Android加密機制也有很深的瞭解，愛加密是怎樣保證APK安全的？愛加密與同類產品相比有什麼特點？

 

    高磊：首先我想說：永遠沒有絕對的安全。愛加密在努力在多個方面提供加密保護，從安卓應用的結構來講，dex文件是最重要、最須要保護的，由於dex中存放了代碼的信息，若是是一個沒有作過任何保護的APK，開發者經過使用dex2jar和jd-gui簡單幾步就能夠查看到源碼，這對於不少開發者來講就是噩夢。因此愛加密對dex作了專業的保護。經過使用加殼技術，對dex文件作了一層保護殼，這樣破解者就沒法經過正常手段反編譯出代碼文件，從而保護代碼的安全。除此以外，愛加密對資源文件、XML、簽名都作了保護，一旦有人修改替換資源文件中的圖片、音頻，或者在manifest文件中加入其餘service、增長權限等都沒法再次打包運行，也就是說一旦你修改了APK文件中的任何東西,打包後都沒法再正常運行了。愛加密近期更推出了SO文件保護功能，這樣不少遊戲和應用的核心代碼將更安全，SO文件自己很難被破解，可是經過使用國外的破解軟件依然會暴露在破解者的面前，包括通信協議、加密方法、核心算法等。 

國內外也有幾家和愛加密相似的服務商，咱們的目標都一致那就是爲了改變整個盜版市場的現狀，保障開發者的應有收益。咱們團隊一直遵循《黑客與畫家》中的一句話「若是你想在軟件業得到成功，就使用你知道的最強大的語言，用它解決你知道的最難的問題，而且等待競爭對手的經理作出自甘平庸的選擇。」因此愛加密從創立之初就一直不斷的尋求新的突破點，推出安全檢測平臺，推出法務支持，每日更新渠道監測數據等，愛加密如今提供的不只僅是一個源代碼的安全保護，而是APP安全的全套服務。

 

 

    APKBUS：Android系統安全，保護的數據隱私是用戶一直關注的問題，但如今大量的第三方定製ROM提供了root 權限管理工具，遇到root後那些重要、敏感、隱私的數據可能被讀取。這個問題您怎麼看呢？

 

    高磊：首先我不建議你們去root，對於蘋果也不建議越獄。由於你想得到高權限的同時也給惡意應用開了一扇門。安卓平臺的開放性就必然致使高風險性，如今不少應用都迫切但願你ROOT，從而獲取用戶的大量隱私信息。可是做爲開發者我仍是堅信一點，作本身該作的，不做惡是一個APP健康發展的前提。

 

 

    APKBUS：您以爲開發者在編譯過程當中，須要怎樣作才能提升系統的安全性呢？

 

    高磊：安卓應用在開發過程當中有不少安全保護的方案,我簡單說幾種：

    1.使用混淆保護,對APK代碼進行基礎的防禦。

    2.使用僞加密保護方式，經過java代碼對APK(壓縮文件)進行僞加密，其修改原理是修改連續4位字節標記爲」PK0102」的後第5位字節，奇數表示不加密偶數表示加密。僞加密後的APK不但能夠防止PC端對它的解壓和查看也一樣能防止反編譯工具編譯。

    3.經過標誌尾添加其餘數據從而防止PC工具解壓反編譯，這樣處理後把APK看作壓縮文件的PC端來講這個文件被破壞了，因此你要對其進行解壓或者查看都會提示文件已損壞，用反編譯工具也會提示文件已損壞，可是它卻不會影響在Android系統裏面的正常運行和安裝並且也能兼容到全部系統 

    4.驗證簽名信息,經過本地或網絡對簽名的信息進行驗證。

    5.使用愛加密，作個廣告，哈哈。

 

 

 

    APKBUS：隨着移動應用的快速發展，安全問題被推到風口浪尖，原創APP被破解、被打包，對於移動安全和保護原創APP開發者的利益方面，您有哪些想法分享給你們？

 

    高磊：咱們可能都記得之前盜版VCD的流行。那時候盜版光盤氾濫，讓不少具備版權的音像製品商沒法生存，盜版的直接受害者就是版權全部者。一樣盜版APP的出現讓開發者和公司受到了很大打擊，包括收入和名譽。不少時候或許咱們都想佔便宜,但願享受免費的知識,免費的圖書,免費的服務.可是一旦咱們做爲服務方就會很痛恨這樣的想法：「我辛苦的付出爲何不給我必定的回報?」因此我但願你們都能換個角度來思考這個問題,可以逐漸培養本身的版權和付費意識,如今你尊重他人的成果,未來他人也會尊重你的成果。

 

 

 

    APKBUS：在安全技術方面，您有沒有什麼意見或者建議給Android學習者？

 

    高磊：安全是每一個領域中比較重要也比較難的環節,做爲安卓開發者初期仍是要把基礎打好,瞭解安卓平臺的知識,隨後在開發過程當中必定要有安全防禦的意識,無論本身的方法是否有效,可是可以有這方面的考慮是很重要的。

固然若是本身想作安全方面，我很支持，目前作應用層開發的開發者太多了，若是可以靜下心學習低層知識，看下安卓源碼、linux驅動、彙編等，就能夠逐步進入安全工程師的行列，高薪哦！固然歡迎你們加入愛加密的團隊！