专访高磊：安卓APK安全加固的引领者

  高磊，爱加密CEO，安卓巴士版主之一，曾编写河南省某地市交通讯息化规划十二五规划，以及参与省厅级资源共享平台设计等。以前的工做经理积累了丰富的设计规划经验，此外还具备J2EE和 Android开发经验。后期专一于移动互联网，关注安卓应用安全，组建了爱加密团队。

 

（APKBUS配图）

 

    APKBUS：您好，很高兴能够进行这次访谈，请介绍下您本身（包括学习背景、工做经验）。

 

 

    高磊：高磊,今年25岁,来自河南郑州，毕业于郑州大学。具备丰富了信息化建设和规划经验，曾编写河南省某地市交通讯息化规划十二五规划，以及参与省厅级资源共享平台设计等。以前的工做经理积累了丰富的设计规划经验，此外还具备J2EE和 android开发经验。后期专一于移动互联网，关注安卓应用安全，组建了爱加密团队，现担任爱加密CEO。

 

 

 

    APKBUS：据了解，您以前是安卓巴士的版主，和巴士的渊源挺深的啊，当时您是怎么加入巴士的版主队伍的？对如今的版主有什么意见或建议么？

 

    高磊：提及安卓巴士确实和我渊源很深，我2010年就和王子（安卓巴士站长）认识，记得当时王子在群里发安卓巴士宣传，我立刻被吸引住了就和他聊了起来，共同探讨了android的发展趋势，安卓巴士的发展建议等，当时我提建议安卓巴士要大力鼓励巴友发表原创内容，创建教程专区等，为巴士的发展也提供了很多的意见和建议，随后我也就成为了巴士的版主之一。 

记得当初在当版主的时候常常和巴友互动，分享知识,泡在论坛。分享一些开发案例，和巴友共同熬夜盖楼抢礼品，那份感受真的再也没找到，巴士是我最喜欢的论坛,没有之一。

至于对如今版主们的建议，那就是以身做则，多给你们分享知识和互动，由于分享是一种快乐。其次是多给巴士提些建设性意见，让巴士发展的更好。

 

   

    APKBUS:毕业没多久，你已经成功的创立了“爱加密”，您是何时有创业的想法的？创业中以为最有意义的事情是什么？

 

    高磊：提及创业或许在每一个人心中都会有过这个想法，可是实际走出后你会发现你和想象中的创业彻底是两回事。天天的熬夜加班，各类困难，来自家庭的压力等等，很容易让你产生放弃的念头。我是在2012年末和彭瀛（智游网安CEO）的一次聊天萌生了创业的念头。那天晚上咱们一块儿吃饭，他用的iphone，我用的HTC。咱们聊到了应用方面如今盗版真多，我还被扣过费，在此以前我也了解一些安全方面的知识。我就提及是否是能够作个保护平台，从而保护APP不被破解，越聊越多，忽然间咱们感受到这是很大一个市场，由于这块基本上是个空白，感受若是全部上市场的APP都可以打上爱加密的烙印，那该是多么伟大的一件事。爱加密这个产品也就在那个晚上打在了咱们的脑海里。

若是说创业中最有意义的事情是什么，那就是和团队共同努力解决某个问题后的感受，由于你能够感受到不是你一我的在战斗，而是有人支持着你。有时候我会很沮丧，可是想到个人兄弟们，我就无法选择逃避，人都是靠逼出来的，这句话真的没错，没有大的压力就难有大的成就。

 

 

    APKBUS：爱加密做为智游网安的主打项目，你对公司将来的发展是如何看待的？

 

    高磊： 智游网安做为一家新兴的移动互联网公司，孕育出了不少优秀产品，像智游防盗，智游推送等，爱加密可以成为公司的重点项目，首先我是很兴奋的。目前网安的估值已经超过3亿元，你可能没法相信，这里面的大部分员工都是年轻人，由于彭瀛相信新的思想，新的力量才能创造将来。年轻人可能没经验，可是思想不受制约，更有拼劲，这才是一个创业公司成功的根本。

 

 

    APKBUS：“爱加密”对软件安全的相关技术要求很高啊，您是何时开始接触Android软件安全这方面的？

 

    高磊：提及安全行业的确技术要求很高，说实话我算不上专家，由于圈内有不少从事这方面研究的工程师，或者黑客等，他们真才真正是这个领域的弄潮儿。安卓平台做为移动应用发展的重要推手，快速发展的同时，开放性也致使了盗版应用产业的迅速发展。在利益驱使下，不少开发者开始从事这个行业，经过二次打包移动应用牟利。

我从12年开始了解安卓安全方面知识，由于我以前是作java web以及安卓应用层的东西，因此对底层并非很了解，本身尝试读了一些书，看了下linux，不过本身仍然和高手们有很大的差距。不过，幸运的是咱们团队有多名底层和安卓系统层的高手，是咱们的共同的汗水铸就了爱加密的成功推出。

 

 

    APKBUS：据知，爱加密为开发者提供的应用开发、上线运营等服务都是免费的，会一直免费下去么？

 

    高磊：爱加密对于普通开发者来讲以及小团队将永远免费，由于一样做为开发者我深入的知道一款应用或游戏开发的艰难，或许一千块钱对于某我的或团队都是很重要的，因此爱加密承诺为我的开发者或小团队免费加固服务。咱们会对大的企业收取加密以外的服务费用，如安全分析，技术支持，定制保护等。智游网安推出爱加密的另一个主要缘由是但愿经过爱加密帮助解决安卓平台混乱的局面，保护广大开发者和公司的正版权益，逐渐实现整个行业的正版化。

 

 

    APKBUS：您对安全技术方面的研究有深刻的研究，对Android加密机制也有很深的了解，爱加密是怎样保证APK安全的？爱加密与同类产品相比有什么特点？

 

    高磊：首先我想说：永远没有绝对的安全。爱加密在努力在多个方面提供加密保护，从安卓应用的结构来讲，dex文件是最重要、最须要保护的，由于dex中存放了代码的信息，若是是一个没有作过任何保护的APK，开发者经过使用dex2jar和jd-gui简单几步就能够查看到源码，这对于不少开发者来讲就是噩梦。因此爱加密对dex作了专业的保护。经过使用加壳技术，对dex文件作了一层保护壳，这样破解者就没法经过正常手段反编译出代码文件，从而保护代码的安全。除此以外，爱加密对资源文件、XML、签名都作了保护，一旦有人修改替换资源文件中的图片、音频，或者在manifest文件中加入其余service、增长权限等都没法再次打包运行，也就是说一旦你修改了APK文件中的任何东西,打包后都没法再正常运行了。爱加密近期更推出了SO文件保护功能，这样不少游戏和应用的核心代码将更安全，SO文件自己很难被破解，可是经过使用国外的破解软件依然会暴露在破解者的面前，包括通信协议、加密方法、核心算法等。 

国内外也有几家和爱加密相似的服务商，咱们的目标都一致那就是为了改变整个盗版市场的现状，保障开发者的应有收益。咱们团队一直遵循《黑客与画家》中的一句话“若是你想在软件业得到成功，就使用你知道的最强大的语言，用它解决你知道的最难的问题，而且等待竞争对手的经理作出自甘平庸的选择。”因此爱加密从创立之初就一直不断的寻求新的突破点，推出安全检测平台，推出法务支持，每日更新渠道监测数据等，爱加密如今提供的不只仅是一个源代码的安全保护，而是APP安全的全套服务。

 

 

    APKBUS：Android系统安全，保护的数据隐私是用户一直关注的问题，但如今大量的第三方定制ROM提供了root 权限管理工具，遇到root后那些重要、敏感、隐私的数据可能被读取。这个问题您怎么看呢？

 

    高磊：首先我不建议你们去root，对于苹果也不建议越狱。由于你想得到高权限的同时也给恶意应用开了一扇门。安卓平台的开放性就必然致使高风险性，如今不少应用都迫切但愿你ROOT，从而获取用户的大量隐私信息。可是做为开发者我仍是坚信一点，作本身该作的，不做恶是一个APP健康发展的前提。

 

 

    APKBUS：您以为开发者在编译过程当中，须要怎样作才能提升系统的安全性呢？

 

    高磊：安卓应用在开发过程当中有不少安全保护的方案,我简单说几种：

    1.使用混淆保护,对APK代码进行基础的防御。

    2.使用伪加密保护方式，经过java代码对APK(压缩文件)进行伪加密，其修改原理是修改连续4位字节标记为”PK0102”的后第5位字节，奇数表示不加密偶数表示加密。伪加密后的APK不但能够防止PC端对它的解压和查看也一样能防止反编译工具编译。

    3.经过标志尾添加其余数据从而防止PC工具解压反编译，这样处理后把APK看作压缩文件的PC端来讲这个文件被破坏了，因此你要对其进行解压或者查看都会提示文件已损坏，用反编译工具也会提示文件已损坏，可是它却不会影响在Android系统里面的正常运行和安装并且也能兼容到全部系统 

    4.验证签名信息,经过本地或网络对签名的信息进行验证。

    5.使用爱加密，作个广告，哈哈。

 

 

 

    APKBUS：随着移动应用的快速发展，安全问题被推到风口浪尖，原创APP被破解、被打包，对于移动安全和保护原创APP开发者的利益方面，您有哪些想法分享给你们？

 

    高磊：咱们可能都记得之前盗版VCD的流行。那时候盗版光盘泛滥，让不少具备版权的音像制品商没法生存，盗版的直接受害者就是版权全部者。一样盗版APP的出现让开发者和公司受到了很大打击，包括收入和名誉。不少时候或许咱们都想占便宜,但愿享受免费的知识,免费的图书,免费的服务.可是一旦咱们做为服务方就会很痛恨这样的想法：“我辛苦的付出为何不给我必定的回报?”因此我但愿你们都能换个角度来思考这个问题,可以逐渐培养本身的版权和付费意识,如今你尊重他人的成果,未来他人也会尊重你的成果。

 

 

 

    APKBUS：在安全技术方面，您有没有什么意见或者建议给Android学习者？

 

    高磊：安全是每一个领域中比较重要也比较难的环节,做为安卓开发者初期仍是要把基础打好,了解安卓平台的知识,随后在开发过程当中必定要有安全防御的意识,无论本身的方法是否有效,可是可以有这方面的考虑是很重要的。

固然若是本身想作安全方面，我很支持，目前作应用层开发的开发者太多了，若是可以静下心学习低层知识，看下安卓源码、linux驱动、汇编等，就能够逐步进入安全工程师的行列，高薪哦！固然欢迎你们加入爱加密的团队！