近日,国外媒体报道:Google Play 官方商店发现了多个假冒应用,其中一个假冒 WhatsApp 的应用下载量竟然还超过了一百万。Google Play的应用审核机制为自动程式,并不是人工审核。假冒应用就通过钻Google Play的审核漏洞,用Unicode 同形字来伪装成合法应用,利用障眼法取得官方商店审核认可。那么粗心的 Android 用户就很大可能会在无意中下载了假冒应用。目前,Google已从Play商店移除了假冒应用。
真正的WhatsApp开发人员ID网址:
https://play.google.com/store/apps/developer?id=WhatsApp+Inc
而假的WhatsApp开发人员ID网址如下所示:
https://play.google.com/store/apps/developer?id=WhatsApp+Inc.%C2%A0
两个地址相似度极高,用户一不小心就容易进入假冒应用的地址。
关于Unicode
Unicode是计算机科学领域里的一项业界标准。它对世界上大部分的文字系统进行了整理、编码,使得电脑可以用更为简单的方式来呈现和处理文字。曾经有专家对spotify的漏洞做过分析,发现字符串的标准化操作导致unicode字符转换成了与他同形的ascii字符,unicode同形的ascii之间有对应的map。因此会导致二进制自动审核机制也会被Unicode同形字迷惑。
假冒应用事件频发
其实关于假冒应用的事件并非是首次,其中支付宝旗下的蚂蚁花呗、借呗网络贷款业务被假冒伪劣成各种应用,如“花呗速贷”、“花呗分期”、“借呗”等等的APP来误导消费者。但支付宝已经多次辟谣,表示,花呗、借呗目前都没有独立的APP。但是仍有不少的用户轻易上当,下载假冒的应用,导致财产损失。
假冒应用泛滥是近几年的常态,那么用户应如何识别真假应用?
国内信息安全服务商数安时代(GDCA)建议广大开发者使用代码签名证书,对其软件代码进行数字签名,标识软件来源。保证代码在签名之后不被恶意篡改。使用户在下载已经签名的代码时,能够快速识别软件开发者的真实身份,有效的验证该代码的可信度。
代码签名证书针对不同的平台,其代码证书品种也不尽相同,因此使用者最好事先咨询正规的代码签名证书的颁发机构(CA机构,如GDCA),可以针对不同平台的代码签名应用,提供不同的代码签名证书产品及应用解决方案。
