事件简述
据云头条报道,杭州鹈鹕网络科技有限公司(以下简称为鹈鹕公司)法定代表人的杨某和黄某为满足其公司客户的需要,便于推销其公司制作的游戏等软件,决定安排公司人员自行制作可与正版微信客户端用户实现文字、语音聊天等功能的“微信”客户端软件(以下简称为鹈鹕微信)。
这个鹈鹕微信说白了就是鹈鹕公司为了帮助它的客户,技术工程师采用反编译技术将腾讯正版微信的客户端给破解了。获取了微信的通讯协议、加密算法等等。然后,按照客户的要求重新封装了这个鹈鹕微信客户端(会自动发广告)。并且在客户端里加了一段代码,只要使用者成功登陆了微信就会将登陆账号、密码上传到它自己的服务器。后来,这个鹈鹕微信被安装到多家功能机厂商出厂预置在老人机上。
鹈鹕微信在2016年仅仅用了3个月开发出来,2018年才被腾讯发现并报案。江苏警方将该案件定义为“提供侵入,非法控制计算机信息系统程序、工具罪”。在数智风看来这个事情不仅仅是一个安全事件,还应该反思反思自己企业的问题。
轻易就能被反编译,腾讯应该反思安全
从这件事情的过程来看:为了满足客户的要求,吕某轻而易举都就将腾讯正版微信客户端给破解了。腾讯这个微信可是有一支专业的研发团队研发出来,并经过多年的迭代更新。居然被一个小公司轻而易举的破解。难道腾讯就一点都没有考虑防止反编译吗?还是因为免费软件所以放松了安全警惕。做软件研发的都知道一些基本的防反编译手段。比如:
- 将代码虚拟化,碎片化,并用加密算法加密起来;
- 在程序中增加加密狗,可以是硬件加密狗也可以软件加密狗。每一个使用者获得加密狗是不同的。只有有加密狗的人才能打开。
- 简单加软件license,限制时间、模块的使用。而且license可以是在线联网的。
- 在服务器端代码中加入实时检测外挂的功能,可以快速发现外挂、破解程序。
以上这些,我相信腾讯的研发人员比我们这些看客更加明白。相信应该也是做了一些的手段的,估计是没有重视起来,才导致这么容易被人反编译破解了。
所以,腾讯应该从这件事中反思对安全的重视程度了。
3个月开发成功,并骗过腾讯成功登陆。腾讯却在近2年后才发现
这件事情中,鹈鹕仅仅用了3个月就开发出来了盗版微信,而腾讯却在近2年后才发现。这个效率相比,反差有点大。腾讯是不是也该反思一下。
- 鹈鹕研发的人不多,但3 个月就开发出了可以执行微信核心聊天功能、还能植入自动广告的盗版微信客户端。腾讯微信团队,人马充足,技术强悍,却无人发现假微信。是时候该提高效率了。
- 腾讯发现盗版微信,最开始还是靠众多微信用户投诉说微信有乱七八糟小广告才开始调查。腾讯微信服务端居然一直被欺骗。都没有技术手段发现异常吗?是时候该改进安全技术了。
腾讯应该反思安全的长效机制了
这次鹈鹕微信事件已经有42182份提供给消费者了,也就是有这么多人受广告侵害,并且密码被鹈鹕公司记录下了。万幸的是这次鹈鹕微信无法监听获取他人微信。腾讯应该反思安全的长效机制。
一个软件的安全,不是一次检查安全没问题,就一直没有问题的。必须有一种长效的安全机制。也就是不仅在软件研发过程需要注意安全,在软件运营过程中也要注意安全。否则,一次安全事故就会毁了整个软件。
①、软件研发安全需要注意代码安全,包括:防泄漏、防止反编译;
②、服务器端和客户端需要双向认证。
- 服务器端需要有客户端发来的身份信息确认确认它是正版客户端。比如:通过多维度信息自动生成的校验码。毕竟山寨的客户端不可能和正版的一模一样。
- 客户端也需要校验服务端的身份。不然下一次出来个伪冒服务器,获取用户的账户信息,也很危险。(当然这是我的猜测)
结束语
总之,鹈鹕微信这次事件,是坏事也是好事。坏事是暴露出腾讯的安全问题。好事是小损失可以换来大改进。希望腾讯尽快加强安全机制。保障广大微信用户的使用安全。
本文来自投稿,不代表本人立场,如若转载,请注明出处:http://www.souzhinan.com/kj/360138.html