事件簡述
據雲頭條報道,杭州鹈鹕網絡科技有限公司(以下簡稱爲鹈鹕公司)法定代表人的楊某和黃某爲滿足其公司客戶的需要,便于推銷其公司制作的遊戲等軟件,決定安排公司人員自行制作可與正版微信客戶端用戶實現文字、語音聊天等功能的“微信”客戶端軟件(以下簡稱爲鹈鹕微信)。
從這件事情的過程來看:爲了滿足客戶的要求,呂某輕而易舉都就將騰訊正版微信客戶端給破解了。騰訊這個微信可是有一支專業的研發團隊研發出來,並經過多年的叠代更新。居然被一個小公司輕而易舉的破解。難道騰訊就一點都沒有考慮防止反編譯嗎?還是因爲免費軟件所以放松了安全警惕。做軟件研發的都知道一些基本的防反編譯手段。比如:
- 將代碼虛擬化,碎片化,並用加密算法加密起來;
- 在程序中增加加密狗,可以是硬件加密狗也可以軟件加密狗。每一個使用者獲得加密狗是不同的。只有有加密狗的人才能打開。
- 簡單加軟件license,限制時間、模塊的使用。而且license可以是在線聯網的。
- 在服務器端代碼中加入實時檢測外挂的功能,可以快速發現外挂、破解程序。
以上這些,我相信騰訊的研發人員比我們這些看客更加明白。相信應該也是做了一些的手段的,估計是沒有重視起來,才導致這麽容易被人反編譯破解了。
所以,騰訊應該從這件事中反思對安全的重視程度了。
3個月開發成功,並騙過騰訊成功登陸。騰訊卻在近2年後才發現
這次鹈鹕微信事件已經有42182份提供給消費者了,也就是有這麽多人受廣告侵害,並且密碼被鹈鹕公司記錄下了。萬幸的是這次鹈鹕微信無法監聽獲取他人微信。騰訊應該反思安全的長效機制。
一個軟件的安全,不是一次檢查安全沒問題,就一直沒有問題的。必須有一種長效的安全機制。也就是不僅在軟件研發過程需要注意安全,在軟件運營過程中也要注意安全。否則,一次安全事故就會毀了整個軟件。
①、軟件研發安全需要注意代碼安全,包括:防泄漏、防止反編譯;
②、服務器端和客戶端需要雙向認證。
- 服務器端需要有客戶端發來的身份信息確認確認它是正版客戶端。比如:通過多維度信息自動生成的校驗碼。畢竟山寨的客戶端不可能和正版的一模一樣。
- 客戶端也需要校驗服務端的身份。不然下一次出來個僞冒服務器,獲取用戶的賬戶信息,也很危險。(當然這是我的猜測)
結束語
總之,鹈鹕微信這次事件,是壞事也是好事。壞事是暴露出騰訊的安全問題。好事是小損失可以換來大改進。希望騰訊盡快加強安全機制。保障廣大微信用戶的使用安全。