网易手机讯 由IDG美国国际数据集团主办的2013安卓全球开发者大会(AndroidWorld Global Developers Conference)10月29-30日在深圳五洲宾馆隆重举行。以下是来自梆梆安全CEO阚志刚先生的演讲:
主持人:接下来这位演讲嘉宾是来自梆梆安全CEO阚志刚先生。阚总为我们带来的演讲主题为“App应用安全及开发者安全保护”。
阚志刚:各位开发者朋友,大家上午好!今天非常高兴、非常荣幸能够跟大家在这儿进行交流,我个人来讲也是一个开发者,所以说我感觉作为一个开发者是骄傲的事情。
今天跟大家交流的主题主要是介绍我们公司梆梆安全怎么为开发者提供安全保护的,希望通过这15分钟的交流,会后当你们的App遭受破坏或者别人窃取你们知识产权的时候,希望想到我们梆梆,希望用梆梆安全的产品。
简单介绍一下我们公司,我们公司是2010年成立的,到目前已经走过了3年的历程。我们公司是非常有特点的公司,什么特点呢?我想我们公司是非常注重技术,也注重技术创新的公司,在我们去年拿到融资的时候,我们的投资人对我们进行了严格的背景调查,我们保护技术从时间上讲还是第一的,也就是在应用保护的细分领域,我们公司是有原创的,从用户的角度来讲,我们公司目前已经保护了3.6万多个应用,覆盖的用户群达到2.6亿,被我们保护的App手机的用户量已经达到了2.6亿户。
讲移动安全的时候,我想简单讲一下,一提到移动安全,大家就感到移动安全领域是非常热闹的领域。从我们的角度来看,移动安全市场格局主要是三足鼎立,一部分是大家经常听到的设备安全,因为这个领域里面有很多巨头在做,比如说像360、腾讯等都做设备安全,设备安全更多的是从除恶的角度,主要产品是防病毒、垃圾短信、保护用户隐私,商业模式更多是B2C,也就是为消费者提供安全服务。
随着移动互联网的发展,随着App经济的日益繁荣,随着Android系统的日益强大,应用安全领域目前来说也变得比较炙手可热,所以说咱们公司梆梆安全主要是在应用安全细分领域里面,我们现在已经做到了世界第一。我们公司可以骄傲的说,不会山寨,也没有山寨别人的技术,因为世界范围之内,还没有我们可以山寨的,过一段时间可能会出现类似的公司,但是我们公司有足够的技术实力、资金实力还有数据的实力,能够在细分领域永远的处于领先的地位。除了设备安全的应用安全之外,还有App运行环境的安全,运行环境比较有代表性的就是虚拟机,就是在手机上做虚拟的环境,目前来讲,在美国做的比较好。
由于现在手机CPU支持不是特别完善,所以大家都在做清醒的虚拟机,从这个格局来看,我们梆梆安全是只做应用安全这块,我们不会去扩大自己的产品线,因为作为创业公司来讲,我是深有体会的,有机会也可以跟各位开发者朋友交流一下创业的心得,因为我在创业之前一直是程序员,所以我感觉非常骄傲,另外也是体会到程序员的艰辛,一个应用开发出来之后要考虑运营、赚钱,还要防止别人山寨你,还要考虑别人能不能分析你的iPad拿到核心数据,所以我们创业的时候就选择这个点保护开发者的App。
目前移动应用主要面临着哪些风险呢?其实从今年以来,在对App的危害,大家提的比较多。现在有一个词叫打包,也就是二次打包,因为Android系统应用程序应该很容易被二次打包,二次打包的结果就是您开发的应用有被别人插入恶意的代码或者插入广告或者是偷走。根据我们的数据观察,在去年第四季度跟今年的第一、二季度,开发者更关心的是盗版,从第二季度到第三季度,开发者就更普遍的关心自己的知识产权,关心自己的原代码是否被别人破解,关心自己的协议是否被破解,我们有一个客户有很大的用户量。
他的通讯协议被破译之后,一些黑客通过PC机来刷分,在淘宝上可以买到一些分数,这样就破坏了它的商业模式。另外我们游戏的开发者最担心的是外挂,比如开发一个应用,开发一个游戏,是金币,金币有可能是从0,通过一些工具能够给你调整无限金币,这样的话就影响开发者的收入。
目前梆梆安全面对的用户主要有两大类,一是移动金融,我们主要是为移动金融领域做了很多安全防护的工作,移动金融主要包括手机银行、手机基金、手机证券,这些领域前几大公司都是现在梆梆安全的客户。从今年开始,我们会免费的为我们游戏的开发者和制定应用的开发者提供保护服务,目前我们的服务还是免费的,然后我们还提供一些收费的服务,当然收费的服务仅仅是面对于应用或者游戏已经赚了很多钱,如果不赚钱的话就可以用我们免费的服务。
据我们统计,在今年至少从游戏的角度来讲,至少有1.2万台游戏年收入平均应该是在100万美元的规模,也就是整个的移动游戏的规模会达到120亿美元的规模。我们的目标客户,我们会针对有收入的用户提供更强大的保护服务,对于一些中小开发者,我们会提供一些免费的服务,当然免费的服务我们跟收费的服务的差距是很小、很小的。
由于安全领域是一个相对来说比较专业的领域,安全的问题刚才也讲了,是有很多问题,谁来保护开发者的利益,谁来保卫开发者的App?我们在谈一些客户的时候,一些大的游戏公司本身是有安全团队的,做了防篡改和调试的机制,毕竟他们人比较少,像咱们公司目前有几十人专注做一个领域,我觉得我们在这个领域是最专业的。
如果大家担心你们的App被别人破解或者被别人偷走你的安全的时候,你可以试着用我们的服务。我们的目标,我本身是做技术出生的,今天刚好是开发者大会,所以我讲的时候更多的是讲技术层面多一点,我不会去讲太多开发者赚多少钱什么的,我还是想说你们用我们的服务,我们怎么样从技术上保证我们的服务是世界第一的。
梆梆安全的主要目标是为开发者构建应用的立体防护体系,提供一站式的保护服务,就是能够从开发者开发中到上线之后到运营,整个的我们给你提供一个一站式的服务。当然安全保护服务是我们公司对外宣传的一个点,就像一个冰山一样,让大家看到的就会宣传梆梆安全等于应用保护,我们还是想把应用保护四个字深深的渗透到开发者的脑海中。
为了做好应用保护,我们在下面是有很大的服务体系,这个地方给大家简单讲一下,我们目前为开发者主要提供五种服务,第一个服务是屏幕服务,屏幕服务也就是说做安全的渗透测试,这个测试我们公司目前为止已经为将近100家银行和基金公司的手机客户端做了渗透测试,就是能够找到应用的漏洞,防止App和其他的攻击。再就是上线之前提供保护服务,否则的话,在上线之后在渠道里面就会分布的非常广,那么别有用心的人就会拿到你们的应用进行分析、破解,然后取得你们核心的知识产权。
所以在上线之前,我们为用户提供安全保护的服务,当你们的应用分布到渠道之后,我们又给你提供渠道监测服务,到目前为止我们已经监测了全球600多个渠道。我这个地方举一个例子,我们渠道监测的主要是寻找钓鱼的应用,大家都听说过钓鱼的网站,现在钓鱼应用是非常流行,长的跟某个客户端一模一样,但是下载下来之后,可能里面是钓鱼的应用,就能够把你的用户名和帐号信息给调走,在渠道监测这块,一些银行、基金公司在使用我们的这项服务。
还有一个服务是在运行过程中,当你的应用遭受了意外的事故,比如说受到了其他应用的恶意攻击,比如恶意卸载或者是恶意的动态调试,那么我们可以给你发出预警,然后通知开发者说你的某款应用在某个手机上发生了被别人破坏的现象。前段时间发生了一些公司之间应用叫洗应用,洗应用是什么概念呢?本来是您的应用,有可能被替换成别人的应用,这种情况下是时常发生的。这种情况下,用户不知晓这种情况,有可能你的手机的应用有可能被您的竞争对手或者其他人能够发生破坏的情况。
我们在今年年底提供新的服务叫“应用管理”,大家可以想象一下您的App,它和App相关的财产,也就是说我们经常所说的,跟您的应用相关的资产,像证书、渠道中的分布情况等等,我们能为开发者提供应用管理的功能,就是能够让您看到您的应用现在装在手机里面的运营情况,还有有没有受到App攻击的情况。所以梆梆安全通过这五项服务为开发者提供一站式的安全保护服务。
另外我们从第三季度已经向国外去发展,我们已经跟美国的一家公司签了代理合同,他们明年会进入中国将近4900个应用,这些应用都会用我们的保护服务。当然,他们用服务的时候是收费的,所以说,也建议开发者您的应用、服务真的是好的话,您向国外走还是不错的选择。明年我们公司的收入至少有一半是来自海外。这个地方是有些数字,截止到10月份,咱们公司保护的应用是将近3600个,覆盖的用户、覆盖的手机数应该是2.6亿,明年年底我们争取保护10万个用户,覆盖的用户数能达到6.5亿的规模。
我们的服务跟产品是非常简单易用的,我们没有ICK,也不需要您的原代码,您开发完应用之后只需要上传到我们的网站,我们自动的为您保护,保护完之后,然后再下载您的应用,您就可以去渠道分发。另外我们为开发者提供服务提供了三种警示,一是通过网站上传保护,另外还开发了梆梆助手,梆梆助手可以装在PCP上,您开发一个应用,有一千个渠道,您打一千个包,利用梆梆助手我们可以把一些插屏化的东西上传上去,这种通过梆梆助手上传会方便很多。
我们第三个产品是梆梆盒子,主要是一台服务器,这台服务器是为一些高端用户服务的,比如银行、金融行业,它的内网和外网都是隔离的,它上传的时候不方便,所以我们会在它的公司里面放置一台服务器,为它完成这种加固的工作。我们给银行这些重点客户服务的时候,我们收取年费,每年的年费是20万人民币,这是高端客户。对于中小客户来讲我们的服务是免费的。这是我们的一些合作伙伴,现在据我们统计,大部分的著名的应用都在用我们的服务,包括像愤怒的小鸟等等,还有一些桌面的应用。
另外还有韩国的游戏公司等等都在用我们加固的服务,我们在去收取服务费的时候,也是根据您的应用的投机程度考虑收费的价值。另外我们在寻找合作伙伴的时候,也是非常谨慎的,因为我们公司比较小,我们寻找伙伴的时候也是跟中国最好的开发者联盟去合作,比如说我们跟4S店达成合作,跟91助手也达成合作,目前我们也在谈一些开发者提供云服务的公司或者提供统计服务的公司,我们就会形成一个联盟,为开发者提供更好的服务。
怎么证明我们的技术比较好呢?我们公司做业务的时候遇到两个问题,一是公司的可信性,你的公司过两年会不会黄了,你怎么为银行提供服务?二是技术的可行性,是否技术真的可行,是否是符合国家标准的,成为标准非常困难,我们公司成立的时候就开始做这方面的工作,到去年咱们公司的三项技术纳入人民银行发布的移动支付标准,这个标准也是我们公司参与制定的,比如说像防篡改、数据安全等,当您发布具有支付功能的应用的时候,您必须经过这些标准,这是Android系统里面遇到的最大问题,写入标准里面以后从另一方面验证,我们梆梆安全不但为银行提供更好的服务,也为游戏开发者提供更好的服务。
梆梆安全的未来,我们还是想提出一个新的概念叫普适移动安全的概念,为开发者提供基于大数据的应用保护,目前为止,我们提供的几项服务放左边,是我们明年和今年为开发者提供的服务,我们明年更多的要为开发者提供更多的服务,比如应用管家、应用管理、安全服务、企业智能,我们为开发者逐渐提供。
在增值服务这块,我们跟中国最好的提供增值服务的公司服务,性能的SDK等,我们都要跟这样的公司服务,在保护的同时、加固的同时不需要开发者变成就能把SDK一起加入进去,我们公司只专注于做这种应用保护,我们不会做其他的增值服务,这些增值服务我们可以跟多盟或者其他公司合作,因为我们有足够大的数据,比如说到明年第二季度的时候,我们就会保护将近7、8万个应用,收集到的应用有500万个,监控一部分渠道,我们有了这些大数据之后都会免费的为开发者提供这样的服务。
最后一句是,我们公司还是想做世界领先的应用保护服务提供商。如果大家在开发的过程中,遇到了您的知识产权被剽窃,您的应用被篡改或者发生了什么其他安全问题的时候,希望能够想到梆梆安全。谢谢大家!
主持人:谢谢阚总的精彩发言。接下来,让我们欢迎艾瑞联合总裁邹蕾女士上台演讲。邹总为我们带来的演讲主题为“移动互联带来颠覆的力量”,掌声有请!