Android : le nouveau système de sécurité pour protéger les applications déjà contourné

Android : la protection des licences déjà « facilement » détournée
Google minimise et défend son système de signature


Mise à jour du 25/08/2010 par Idelways

Le système de protection des licences de l'Android Market, mis en place par Google il y'a moins d'un mois (lire ci-avant) est déjà craqué. Et d'une manière relativement simple.

Sur un message posté sur AndridPolice, un développeur prétend — démonstration à l'appui — pouvoir briser la protection LVL (Licence Verification Library) en changeant quelque lignes de codes.

Justin Case, l'auteur de l'article se dit pourtant « opposé au piratage et pro-Google » et explique que le but de sa démarche est d'améliorer les systèmes de protection des applications.

Pourtant, même si l'utilisateur lambda n'est pas en mesure d'exploiter directement cette faille, beaucoup d'utilisateurs avancés (dont font partie les membres de ce forum) peuvent craquer les applications et pourraient en distribuer des copies illégales.

La réponse de Google ne s'est pas faite attendre.

Tim Bray tente de clarifier quelques informations à propos de LVL.

Il concède que "la protection à 100% contre la piraterie n'existe pas pour les systèmes qui exécutent du code tiers", mais il dit qu'avec une bonne sécurité, il est possible de rendre extrêmement difficile et coûteux le piratage logiciel.

Bray prend la défense de son système de protection, qu'il qualifie de « très jeune », sa première version inclurait pour l'instant l'implémentation la plus simple et la plus transparente pour des raisons de clarté.

Dans le détail, l'exploit (ou plus exactement le « crack ») s'appuie sur le fait que les applications pour Android sont distribuées sous forme de byte-codes comme toute application Java. Ce bytecode peut être décompilé en un code source très proche du code original.

Une fois ce code obtenu, le « pirate » n'a qu'à trouver la classe LicenceValidator et changer le comportement de l'application quand le serveur de vérification répond que la licence est invalide. Ne reste plus qu'à recompiler et redistribuer l'application.

Une prochaine version de LVL devrait donc assez rapidement voir le jour.

Même si comme Tim Bray le souligne, cette première version est déjà très populaire auprès des développeurs. Et qu'elle rend, quoi qu'on en dise, la crackage des applications Android déjà nettement moins « user friendly » que par le passé.

Source : Site AndroidPolice

Lire aussi :

L'Android Market passe la barre des 100 000 applications

Android : premier « Cheval de Troie » camouflé dans un jeu, Tapesnake envoie le positionnement GPS du smartphone à des tiers

Oracle poursuit Google en justice pour son utilisation de Java dans Android : le succès de l'OS mobile attiserait-il les appétits


Et vous ?

Google arrivera-t-il à protéger les applications Android payantes contre le piratage ?

Quels protections proposez-vous pour y arriver ?


En collaboration avec Gordon Fowler






Android : nouveau système de sécurité pour protéger les applications
Payantes du piratage, elles devront se connecter aux serveurs de Google




Google lance un nouveau process d'authentification des applications payantes sous Android pour lutter contre le piratage. Ce nouveau « Licensing Service for Android » consiste à obliger l'application à se connecter aux serveurs de Google pour vérifier qu'elle a bien été achetée et non pas illégalement copiée... si son auteur souhaite protéger sa création bien entendu.

Cette sécurisation de type Cloud, pose quelques problèmes. La principale question, pour l'utilisateur, est de savoir ce qui se passe s'il veut utiliser l'application dans un endroit sans couverture internet.

Google précise que le développeur pourra choisir la fréquence du Ping avec les serveurs de Moutain View : à chaque lancement ou une fois par semaine par exemple.

Autre question : que faire lorsqu'une application piratée est repérée ?

Là encore le choix sera laissé au développeur. L'application pourra être bloquée ou, de manière plus commerciale, passer directement en mode de démo limitée pour pousser à l'achat.

Cette nouvelle fonctionnalité de contrôle pourra être implémentée sur les versions 1.5 et supérieures d'Android (autrement dit quasiment toutes les versions de l'OS). Le guide de développement se trouve ici.

Des détails techniques, notamment sur le nouvel outil du SDK (le License Verification Library, alias LVL) sont également exposés sur cette page.

Et comme un dessin vaut toujours mieux qu'un long discours, voici, en résumé, ces détails techniques :






Source : Annonce de Google


Lire aussi :


« Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur », répond Google, après l'étude sur Android Market

Les rubriques (actu, forums, tutos) de Développez :

Android
Sécurité
Mobiles


Et vous ?

En temps que développeur, trouvez-vous que ce nouveau mécanisme de protection soit une bonne idée ?

Et en temps qu'utilisateur ?

En termes de développement, cela propose un moyen simple pour vérifier l'utilisation légale de l'application, c'est donc un plus.

Mais au niveau de l'expérience utilisateur, je trouve qu'une application utilisant ce système est limite scandaleux. Je pense que, si on a moyen de savoir que l'appli utilise ce système, je serais prêt à refuser tout simplement l'achat de la dite-application. ça me rappelle quand même fortement une gestion de l'authenticité des licences de certains jeux où ils faut être connecté pour jouer même si le jeu n'a pas besoin de réseau...

Pour conclure, en tant qu'utilisateur et développeur (à mes heures perdues pour mon android) que je suis, ça ne me parait pas une bonne idée :s

Envoyé par dams78

comment je fais si je suis hors de l'Europe pour la lancer si elle a besoin d'un accès au net?

Y a pas de net en dehors de l'Europe ???
Damned, on est diablement en avance !!!

Si l'application en question peut réagir selon ce que le dévelopeur veut, la meilleure solution pour le développeur est d'afficher un message a chaque demarrage de l'application qui dirait quelque chose comme "Votre application n'est pas une copie légale. Vous pouvez continuer à l'utiliser mais n'oubliez pas qu'il y a des développeurs à nourrir pour qu'elle continue d'exister et de s'améliorer. Si l'application vous plait, envisagez de l'acheter "

Pas mal de développeurs de jeux (dont les premiers Id Software pour le premier Doom) considèrent que c'est certainement la meilleure protection qu'on puisse mettre en place, si on veut en mettre une. L'idée est que ça se passe au niveau de la conscience de l'utilisateur, qui sait alors qu'on sait qu'il est fautif et envisagera d'acheter. S'il n'achète pas alors de toutes manières qui n'aurait pas acheté alors autant lui laisser une nuisance mineure (le message au démarrage) mais ne pas faire plus parce que ça détériore la vision de l'application.

Une autre solution sympa est d'afficher le nom du détenteur de l'application (celui qui l'a acheté, qui a la licence) au démarage, rien de plus. Il y a un effet psychologique qui marche pas mal.

Je serais plutôt d'avis de pouvoir utiliser l'application tant que son dernier accès au net l'a validée (donc sans notion de durée fixe).
Par conséquent, une application piratée peut être utilisée tant que le smartphone n'est pas connecté au net. Dès lors que le smartphone se connecte, PAF elle est grillée.

Je n'utilise pas de smartphone car je n'en vois pas encore l'utilité pour mes besoins, donc je suppose qu'un smartphone qui ne se connecte jamais au net doit être rare.

Envoyé par MrDuChnok

Mais l'envoi d'une clé à mon avis ça pèse pas bien lourd.

Pas bien lourd en effet, mais si tu n'as pas accès à la couverture 3G (ou étranger et que tu veux pas avoir une méga facture de tel), tu te retrouves bloqué alors que tu es un utilisateur légitime. C'est LA faille de ce système si on considère les versions du système qui nécessiteront plusieurs accès (validation à intervalles réguliers par exemple). Donc non, je ne suis pas d'accords quand tu dis que ça ne gênera que les utilisateurs de versions piratées.

Envoyé par Hellwing

Je serais plutôt d'avis de pouvoir utiliser l'application tant que son dernier accès au net l'a validée (donc sans notion de durée fixe).
Par conséquent, une application piratée peut être utilisée tant que le smartphone n'est pas connecté au net. Dès lors que le smartphone se connecte, PAF elle est grillée.

Je n'utilise pas de smartphone non plus, mais cette utilisation me parait la plus intelligente.

Quoiqu'il en soit, vu que c'est laissé au libre choix du programmeur, si ça pose tant de problèmes que ça, les programmeurs vont vite arrêter de l'utiliser.

euh et les patch de l'appli alors ? on dit à l'application qu'elle est toujours activée, ou bien si c'est pas activé on lui dit tu ne fais rien.
et la liste est bien longue...

Ou alors plus simplement encourager les connexions au serveur Google par la mise -à jour fréquente de l'application, un peu comme un forfait à renouveler chaque mois ou il faut (ou disons il serait plus agréable pour l'utilisateur) tenir à jour sa version pour en profiter pleinement ( style MS windows avec les Genuine check )

En temps que développeur, trouvez-vous que ce nouveau mécanisme de protection soit une bonne idée ?
Et en temps qu'utilisateur ?

Et quid de l'intérêt de google dans l'histoire ? Je ne crois pas me souvenir que google soit une association a but non lucratif...

Est-ce que ce système n'offre pas l'avantage a google de connaitre pour un utilisateur, les applications qu'il achète et la fréquence avec laquelle il les utilise ?
Manière de vendre des pubs bien ciblées ?

En tout cas cela n'apporte rien à l'utilisateur... à part le sentiment de se faire traiter de voleur à chaque fois qu'il ne pourra pas se connecter à ce fameux serveur...

Envoyé par Robbin Hoodz

Et quid de l'intérêt de google dans l'histoire ? Je ne crois pas me souvenir que google soit une association a but non lucratif...

Je pense que l'intérêt de Google est de maintenir et d'encourager les entreprises et indépendant à développer pour Android, car tous les acteurs du marché l'ont bien compris, le succès d'une plateforme passe par sa logithèque.
Si les développeurs ne se sentent pas soutenus sur une plateforme pour lutter contre le piratage, ou garantir la pérennité de celle-ci, ils s'en détourneront.
L'intérêt commerciale et clairement partagé entre Google (+ de plateforme Android -> + de diffusion publicitaire mobile) et les développeurs (+ de plateforme Android -> + de point de distribution de leurs applications).
Une sorte de symbiose fait .