山寨微信虽然已经被抓,腾讯正版微信也该反思反思

事件简述

据云头条报道,杭州鹈鹕网络科技有限公司(以下简称为鹈鹕公司)法定代表人的杨某和黄某为满足其公司客户的需要,便于推销其公司制作的游戏等软件,决定安排公司人员自行制作可与正版微信客户端用户实现文字、语音聊天等功能的“微信”客户端软件(以下简称为鹈鹕微信)。

山寨微信虽然已经被抓,腾讯正版微信也该反思反思

从这件事情的过程来看:为了满足客户的要求,吕某轻而易举都就将腾讯正版微信客户端给破解了。腾讯这个微信可是有一支专业的研发团队研发出来,并经过多年的迭代更新。居然被一个小公司轻而易举的破解。难道腾讯就一点都没有考虑防止反编译吗?还是因为免费软件所以放松了安全警惕。做软件研发的都知道一些基本的防反编译手段。比如:

  • 将代码虚拟化,碎片化,并用加密算法加密起来;
  • 在程序中增加加密狗,可以是硬件加密狗也可以软件加密狗。每一个使用者获得加密狗是不同的。只有有加密狗的人才能打开。
  • 简单加软件license,限制时间、模块的使用。而且license可以是在线联网的。
  • 在服务器端代码中加入实时检测外挂的功能,可以快速发现外挂、破解程序。

以上这些,我相信腾讯的研发人员比我们这些看客更加明白。相信应该也是做了一些的手段的,估计是没有重视起来,才导致这么容易被人反编译破解了。

所以,腾讯应该从这件事中反思对安全的重视程度了。

3个月开发成功,并骗过腾讯成功登陆。腾讯却在近2年后才发现

山寨微信虽然已经被抓,腾讯正版微信也该反思反思

这次鹈鹕微信事件已经有42182份提供给消费者了,也就是有这么多人受广告侵害,并且密码被鹈鹕公司记录下了。万幸的是这次鹈鹕微信无法监听获取他人微信。腾讯应该反思安全的长效机制。

一个软件的安全,不是一次检查安全没问题,就一直没有问题的。必须有一种长效的安全机制。也就是不仅在软件研发过程需要注意安全,在软件运营过程中也要注意安全。否则,一次安全事故就会毁了整个软件。

①、软件研发安全需要注意代码安全,包括:防泄漏、防止反编译;

②、服务器端和客户端需要双向认证。

  • 服务器端需要有客户端发来的身份信息确认确认它是正版客户端。比如:通过多维度信息自动生成的校验码。毕竟山寨的客户端不可能和正版的一模一样。
  • 客户端也需要校验服务端的身份。不然下一次出来个伪冒服务器,获取用户的账户信息,也很危险。(当然这是我的猜测)

结束语

总之,鹈鹕微信这次事件,是坏事也是好事。坏事是暴露出腾讯的安全问题。好事是小损失可以换来大改进。希望腾讯尽快加强安全机制。保障广大微信用户的使用安全。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注