事件簡述
據云頭條報道,杭州鵜鶘網絡科技有限公司(以下簡稱為鵜鶘公司)法定代表人的楊某和黃某為滿足其公司客戶的需要,便於推銷其公司製作的遊戲等軟件,決定安排公司人員自行製作可與正版微信客戶端用戶實現文字、語音聊天等功能的“微信”客戶端軟件(以下簡稱為鵜鶘微信)。
這個鵜鶘微信說白了就是鵜鶘公司為了幫助它的客戶,技術工程師採用反編譯技術將騰訊正版微信的客戶端給破解了。獲取了微信的通訊協議、加密算法等等。然後,按照客戶的要求重新封裝了這個鵜鶘微信客戶端(會自動發廣告)。並且在客戶端里加了一段代碼,只要使用者成功登陸了微信就會將登陸賬號、密碼上傳到它自己的服務器。後來,這個鵜鶘微信被安裝到多家功能機廠商出廠預置在老人機上。
鵜鶘微信在2016年僅僅用了3個月開發出來,2018年才被騰訊發現並報案。江蘇警方將該案件定義為“提供侵入,非法控制計算機信息系統程序、工具罪”。在數智風看來這個事情不僅僅是一個安全事件,還應該反思反思自己企業的問題。
輕易就能被反編譯,騰訊應該反思安全
從這件事情的過程來看:為了滿足客戶的要求,呂某輕而易舉都就將騰訊正版微信客戶端給破解了。騰訊這個微信可是有一支專業的研發團隊研發出來,並經過多年的迭代更新。居然被一個小公司輕而易舉的破解。難道騰訊就一點都沒有考慮防止反編譯嗎?還是因為免費軟件所以放鬆了安全警惕。做軟件研發的都知道一些基本的防反編譯手段。比如:
- 將代碼虛擬化,碎片化,並用加密算法加密起來;
- 在程序中增加加密狗,可以是硬件加密狗也可以軟件加密狗。每一個使用者獲得加密狗是不同的。只有有加密狗的人才能打開。
- 簡單加軟件license,限制時間、模塊的使用。而且license可以是在線聯網的。
- 在服務器端代碼中加入實時檢測外掛的功能,可以快速發現外掛、破解程序。
以上這些,我相信騰訊的研發人員比我們這些看客更加明白。相信應該也是做了一些的手段的,估計是沒有重視起來,才導致這麼容易被人反編譯破解了。
所以,騰訊應該從這件事中反思對安全的重視程度了。
3個月開發成功,並騙過騰訊成功登陸。騰訊卻在近2年後才發現
這件事情中,鵜鶘僅僅用了3個月就開發出來了盜版微信,而騰訊卻在近2年後才發現。這個效率相比,反差有點大。騰訊是不是也該反思一下。
- 鵜鶘研發的人不多,但3 個月就開發出了可以執行微信核心聊天功能、還能植入自動廣告的盜版微信客戶端。騰訊微信團隊,人馬充足,技術強悍,卻無人發現假微信。是時候該提高效率了。
- 騰訊發現盜版微信,最開始還是靠眾多微信用戶投訴說微信有亂七八糟小廣告才開始調查。騰訊微信服務端居然一直被欺騙。都沒有技術手段發現異常嗎?是時候該改進安全技術了。
騰訊應該反思安全的長效機制了
這次鵜鶘微信事件已經有42182份提供給消費者了,也就是有這麼多人受廣告侵害,並且密碼被鵜鶘公司記錄下了。萬幸的是這次鵜鶘微信無法監聽獲取他人微信。騰訊應該反思安全的長效機制。
一個軟件的安全,不是一次檢查安全沒問題,就一直沒有問題的。必須有一種長效的安全機制。也就是不僅在軟件研發過程需要注意安全,在軟件運營過程中也要注意安全。否則,一次安全事故就會毀了整個軟件。
①、軟件研發安全需要注意代碼安全,包括:防洩漏、防止反編譯;
②、服務器端和客戶端需要雙向認證。
- 服務器端需要有客戶端發來的身份信息確認確認它是正版客戶端。比如:通過多維度信息自動生成的校驗碼。畢竟山寨的客戶端不可能和正版的一模一樣。
- 客戶端也需要校驗服務端的身份。不然下一次出來個偽冒服務器,獲取用戶的賬戶信息,也很危險。(當然這是我的猜測)
結束語
總之,鵜鶘微信這次事件,是壞事也是好事。壞事是暴露出騰訊的安全問題。好事是小損失可以換來大改進。希望騰訊儘快加強安全機制。保障廣大微信用戶的使用安全。
閱讀更多 數智風 的文章
