Android : le nouveau système de sécurité pour protéger les applications déjà contourné

[Gordon Fowler]

Android : la protection des licences déjà « facilement » détournée
Google minimise et défend son système de signature


Mise à jour du 25/08/2010 par Idelways

Le système de protection des licences de l'Android Market, mis en place par Google il y'a moins d'un mois (lire ci-avant) est déjà craqué. Et d'une manière relativement simple.

Sur un message posté sur AndridPolice, un développeur prétend — démonstration à l'appui — pouvoir briser la protection LVL (Licence Verification Library) en changeant quelque lignes de codes.

Justin Case, l'auteur de l'article se dit pourtant « opposé au piratage et pro-Google » et explique que le but de sa démarche est d'améliorer les systèmes de protection des applications.

Pourtant, même si l'utilisateur lambda n'est pas en mesure d'exploiter directement cette faille, beaucoup d'utilisateurs avancés (dont font partie les membres de ce forum) peuvent craquer les applications et pourraient en distribuer des copies illégales.

La réponse de Google ne s'est pas faite attendre.

Tim Bray tente de clarifier quelques informations à propos de LVL.

Il concède que "la protection à 100% contre la piraterie n'existe pas pour les systèmes qui exécutent du code tiers", mais il dit qu'avec une bonne sécurité, il est possible de rendre extrêmement difficile et coûteux le piratage logiciel.

Bray prend la défense de son système de protection, qu'il qualifie de « très jeune », sa première version inclurait pour l'instant l'implémentation la plus simple et la plus transparente pour des raisons de clarté.

Dans le détail, l'exploit (ou plus exactement le « crack ») s'appuie sur le fait que les applications pour Android sont distribuées sous forme de byte-codes comme toute application Java. Ce bytecode peut être décompilé en un code source très proche du code original.

Une fois ce code obtenu, le « pirate » n'a qu'à trouver la classe LicenceValidator et changer le comportement de l'application quand le serveur de vérification répond que la licence est invalide. Ne reste plus qu'à recompiler et redistribuer l'application.

Vidéo : Briser l'Android Licensing Verification Library (LVL)

Vidéo : Briser l'Android Licensing Verification Library (LVL)

Une prochaine version de LVL devrait donc assez rapidement voir le jour.

Même si comme Tim Bray le souligne, cette première version est déjà très populaire auprès des développeurs. Et qu'elle rend, quoi qu'on en dise, la crackage des applications Android déjà nettement moins « user friendly » que par le passé.

Source : Site AndroidPolice

Lire aussi :

L'Android Market passe la barre des 100 000 applications

Android : premier « Cheval de Troie » camouflé dans un jeu, Tapesnake envoie le positionnement GPS du smartphone à des tiers

Oracle poursuit Google en justice pour son utilisation de Java dans Android : le succès de l'OS mobile attiserait-il les appétits


Et vous ?

Google arrivera-t-il à protéger les applications Android payantes contre le piratage ?

Quels protections proposez-vous pour y arriver ?


En collaboration avec Gordon Fowler






Android : nouveau système de sécurité pour protéger les applications
Payantes du piratage, elles devront se connecter aux serveurs de Google




Google lance un nouveau process d'authentification des applications payantes sous Android pour lutter contre le piratage. Ce nouveau « Licensing Service for Android » consiste à obliger l'application à se connecter aux serveurs de Google pour vérifier qu'elle a bien été achetée et non pas illégalement copiée... si son auteur souhaite protéger sa création bien entendu.

Cette sécurisation de type Cloud, pose quelques problèmes. La principale question, pour l'utilisateur, est de savoir ce qui se passe s'il veut utiliser l'application dans un endroit sans couverture internet.

Google précise que le développeur pourra choisir la fréquence du Ping avec les serveurs de Moutain View : à chaque lancement ou une fois par semaine par exemple.

Autre question : que faire lorsqu'une application piratée est repérée ?

Là encore le choix sera laissé au développeur. L'application pourra être bloquée ou, de manière plus commerciale, passer directement en mode de démo limitée pour pousser à l'achat.

Cette nouvelle fonctionnalité de contrôle pourra être implémentée sur les versions 1.5 et supérieures d'Android (autrement dit quasiment toutes les versions de l'OS). Le guide de développement se trouve ici.

Des détails techniques, notamment sur le nouvel outil du SDK (le License Verification Library, alias LVL) sont également exposés sur cette page.

Et comme un dessin vaut toujours mieux qu'un long discours, voici, en résumé, ces détails techniques :






Source : Annonce de Google


Lire aussi :


« Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur », répond Google, après l'étude sur Android Market

Les rubriques (actu, forums, tutos) de Développez :

Android
Sécurité
Mobiles


Et vous ?

En temps que développeur, trouvez-vous que ce nouveau mécanisme de protection soit une bonne idée ?

Et en temps qu'utilisateur ?

[FailMan]

A quand des applications piratées simulant un serveur Google pour que l'application se connecte dessus en la validant ...

[Oussapik]

En termes de développement, cela propose un moyen simple pour vérifier l'utilisation légale de l'application, c'est donc un plus.

Mais au niveau de l'expérience utilisateur, je trouve qu'une application utilisant ce système est limite scandaleux. Je pense que, si on a moyen de savoir que l'appli utilise ce système, je serais prêt à refuser tout simplement l'achat de la dite-application. ça me rappelle quand même fortement une gestion de l'authenticité des licences de certains jeux où ils faut être connecté pour jouer même si le jeu n'a pas besoin de réseau...

Pour conclure, en tant qu'utilisateur et développeur (à mes heures perdues pour mon android) que je suis, ça ne me parait pas une bonne idée :s

[dams78]

La seule application que j'ai achetée sur Android est CoPilot (GPS), comment je fais si je suis hors de l'Europe pour la lancer si elle a besoin d'un accès au net?
Il serait plus pratique d'utiliser ce procédé uniquement lors du premier lancement de l'application, je trouve...

[fabrice91]

Citation:

Envoyé par dams78

comment je fais si je suis hors de l'Europe pour la lancer si elle a besoin d'un accès au net?

Y a pas de net en dehors de l'Europe ???
Damned, on est diablement en avance !!!

[Klaim]

Si l'application en question peut réagir selon ce que le dévelopeur veut, la meilleure solution pour le développeur est d'afficher un message a chaque demarrage de l'application qui dirait quelque chose comme "Votre application n'est pas une copie légale. Vous pouvez continuer à l'utiliser mais n'oubliez pas qu'il y a des développeurs à nourrir pour qu'elle continue d'exister et de s'améliorer. Si l'application vous plait, envisagez de l'acheter "

Pas mal de développeurs de jeux (dont les premiers Id Software pour le premier Doom) considèrent que c'est certainement la meilleure protection qu'on puisse mettre en place, si on veut en mettre une. L'idée est que ça se passe au niveau de la conscience de l'utilisateur, qui sait alors qu'on sait qu'il est fautif et envisagera d'acheter. S'il n'achète pas alors de toutes manières qui n'aurait pas acheté alors autant lui laisser une nuisance mineure (le message au démarrage) mais ne pas faire plus parce que ça détériore la vision de l'application.

Une autre solution sympa est d'afficher le nom du détenteur de l'application (celui qui l'a acheté, qui a la licence) au démarage, rien de plus. Il y a un effet psychologique qui marche pas mal.

[FailMan]

Citation:

Envoyé par dams78

Il serait plus pratique d'utiliser ce procédé uniquement lors du premier lancement de l'application, je trouve...

J'y pensais aussi, mais à mon avis ça va être rapidement court-circuité.

Citation:

Envoyé par fabrice91

Y a pas de net en dehors de l'Europe ???
Damned, on est diablement en avance !!!

Si en plus de l'application à 10€ tu dois payer à chaque lancement 3€ de connexion 3G à l'étranger parce que ce n'est pas compris dans le forfait, ça risque d'en rebuter certains.

[Hellwing]

Je serais plutôt d'avis de pouvoir utiliser l'application tant que son dernier accès au net l'a validée (donc sans notion de durée fixe).
Par conséquent, une application piratée peut être utilisée tant que le smartphone n'est pas connecté au net. Dès lors que le smartphone se connecte, PAF elle est grillée.

Je n'utilise pas de smartphone car je n'en vois pas encore l'utilité pour mes besoins, donc je suppose qu'un smartphone qui ne se connecte jamais au net doit être rare.

[Lyche]

Citation:

Envoyé par dams78

La seule application que j'ai achetée sur Android est CoPilot (GPS), comment je fais si je suis hors de l'Europe pour la lancer si elle a besoin d'un accès au net?
Il serait plus pratique d'utiliser ce procédé uniquement lors du premier lancement de l'application, je trouve...

Tu douilles avec des factures web à 800€ pour ton séjour :/

[MrDuChnok]

J'ai pas pu tester ce nouveau service proposé, mais la description me parait pas mal et je pense que je l'utiliserais à terme.
De ce que j'ai lu, il y a beaucoup de souplesse dans la gestion des licences. Le développeur choisi vraiment s'il veut mettre en place ce système, et si oui, quelle réaction il doit avoir face à une application piratée.

Donc chaque développeur fixe les règles pour son application : Rythme de la vérification (aucune / à l'installation / au premier lancement / à chaque lancement / de temps en temps), Type de "répression" (aucune, popup, fermeture de l'appli, redirection vers le téléchargement de la version "gratuite", activation d'un mode dégradé, etc), etc

Je ne vois pas en quoi ça gêne les utilisateurs, mise à part ceux qui ont installé des versions piratés des applications.
Le seul truc, c'est les communications data que ça va impliquer. Mais l'envoi d'une clé à mon avis ça pèse pas bien lourd.

edit : Vu que c'est le développeur qui à la main sur le contrôle de la licence, on peut très bien imaginer un système où l'application averti l'utilisateur "Vous avez 10/15/20 jours pour faire valider votre copie" en cas de non disponibilité du réseau Internet sur le mobile.

[Oussapik]

Citation:

Envoyé par MrDuChnok

Mais l'envoi d'une clé à mon avis ça pèse pas bien lourd.

Pas bien lourd en effet, mais si tu n'as pas accès à la couverture 3G (ou étranger et que tu veux pas avoir une méga facture de tel), tu te retrouves bloqué alors que tu es un utilisateur légitime. C'est LA faille de ce système si on considère les versions du système qui nécessiteront plusieurs accès (validation à intervalles réguliers par exemple). Donc non, je ne suis pas d'accords quand tu dis que ça ne gênera que les utilisateurs de versions piratées.

[buzzkaido]

Citation:

Envoyé par Hellwing

Je serais plutôt d'avis de pouvoir utiliser l'application tant que son dernier accès au net l'a validée (donc sans notion de durée fixe).
Par conséquent, une application piratée peut être utilisée tant que le smartphone n'est pas connecté au net. Dès lors que le smartphone se connecte, PAF elle est grillée.

Je n'utilise pas de smartphone non plus, mais cette utilisation me parait la plus intelligente.

Quoiqu'il en soit, vu que c'est laissé au libre choix du programmeur, si ça pose tant de problèmes que ça, les programmeurs vont vite arrêter de l'utiliser.

[dams78]

Citation:

Envoyé par fabrice91

Y a pas de net en dehors de l'Europe ???
Damned, on est diablement en avance !!!

Si t'as pas envie de te retrouver avec une facture salée, t'as intérêt à ne pas activer la 3G hors de la France. Et dans le cas que je donnais tu as rarement accès à un wifi ouvert lorsque tu es en voiture et que tu actives ton GPS!

[Jcpan]

euh et les patch de l'appli alors ? on dit à l'application qu'elle est toujours activée, ou bien si c'est pas activé on lui dit tu ne fais rien.
et la liste est bien longue...

[zencorp]

Ou alors plus simplement encourager les connexions au serveur Google par la mise -à jour fréquente de l'application, un peu comme un forfait à renouveler chaque mois ou il faut (ou disons il serait plus agréable pour l'utilisateur) tenir à jour sa version pour en profiter pleinement ( style MS windows avec les Genuine check )

[MrDuChnok]

Citation:

Envoyé par Oussapik

Pas bien lourd en effet, mais si tu n'as pas accès à la couverture 3G (ou étranger et que tu veux pas avoir une méga facture de tel), tu te retrouves bloqué alors que tu es un utilisateur légitime. C'est LA faille de ce système si on considère les versions du système qui nécessiteront plusieurs accès (validation à intervalles réguliers par exemple). Donc non, je ne suis pas d'accors quand tu dis que ça ne gênera que les utilisateurs de versions piratées.

Les utilisateurs qui seront trop gênés avec des contraintes de sécurités trop forte le feront sans doute rapidement savoir. J'ai pas trop de crainte sur une sur-protection. J'espère que les développeurs prévoiront les cas où les utilisateurs ne veulent pas faire de data à certain instant. Comme par exemple avec le système que j'ai évoqué "vous avez 10/15/20 jours pour valider votre version".

[GanYoshi]

Si les gens n'ont pas d'accès illimité au web, ils peuvent se poser de sérieuses questions quant à l'opportunité de prendre un smartphone android...

Lors d'un voyage à l'étranger, il est possible de bloquer l'accès à internet d'android :

Citation:

Si j’ai un forfait sans data illimité mais que la possibilité m’est donnée en hors-forfait, comment bloquer les connexions ?

C’est là qu’intervient l’APN. Il suffit alors de changer d’APN ou de le bloquer pour que le téléphone ne sache pas se connecter au serveur quand il veut échanger des données. Bien entendu, les échanges téléphoniques et SMS sont toujours possibles.

Bien sûr ça risque de bloquer au bout d'un certains temps les applications qui fonctionnent hors ligne, mais qui ne pourront plus s'authentifier auprès du serveur Google.

On peut raisonnablement imaginer qu'on trouve un accès internet au moins une fois par semaine (via au moins un point d'accès wifi)...

Je suis contre toutes les mesures de protection qui handicape l'expérience utilisateur, mais là c'est clairement de la mauvaise fois que de dire que c'est le cas, parce que dans une situation ultra-particulière d'une expédition dans le désert sans accès internet, on se retrouve sans GPS.

[Robbin Hoodz]

Citation:

En temps que développeur, trouvez-vous que ce nouveau mécanisme de protection soit une bonne idée ?
Et en temps qu'utilisateur ?

Et quid de l'intérêt de google dans l'histoire ? Je ne crois pas me souvenir que google soit une association a but non lucratif...

Est-ce que ce système n'offre pas l'avantage a google de connaitre pour un utilisateur, les applications qu'il achète et la fréquence avec laquelle il les utilise ?
Manière de vendre des pubs bien ciblées ?

En tout cas cela n'apporte rien à l'utilisateur... à part le sentiment de se faire traiter de voleur à chaque fois qu'il ne pourra pas se connecter à ce fameux serveur...

[zencorp]

Citation:

Envoyé par Robbin Hoodz

Et quid de l'intérêt de google dans l'histoire ? Je ne crois pas me souvenir que google soit une association a but non lucratif...

Je pense que l'intérêt de Google est de maintenir et d'encourager les entreprises et indépendant à développer pour Android, car tous les acteurs du marché l'ont bien compris, le succès d'une plateforme passe par sa logithèque.
Si les développeurs ne se sentent pas soutenus sur une plateforme pour lutter contre le piratage, ou garantir la pérennité de celle-ci, ils s'en détourneront.
L'intérêt commerciale et clairement partagé entre Google (+ de plateforme Android -> + de diffusion publicitaire mobile) et les développeurs (+ de plateforme Android -> + de point de distribution de leurs applications).
Une sorte de symbiose fait .

[MrDuChnok]

C'est une API qui est fourni aux développeurs. Certains faisait déjà ce contrôle de sécurité avant de leur propre manière.
Cette API permet juste de simplifier la mise en place d'un tel système pour les développeurs. Donc à mon avis, ça sera totalement invisible pour les utilisateurs, mais juste plus contraignant pour les pirates.

D'ailleurs en lisant un peu la doc :

Citation:

You can implement license caching behaviors to manage access when there is no network connectivity.

Citation:

For example, a Policy would maintain the timestamp of last successful license check, the retry count, the license validity period, and similar information in a persistent store

Citation:

allowAccess() determines whether to grant the user access to your application, based on any available license response data (from the licensing server or from cache) or other application-specific information. For example, your implementation of allowAccess() could take into account additional criteria, such as usage or other data retrieved from a backend server. In all cases, an implementation of allowAccess() should only return true if there user is licensed to use the application, as determined by the licensing server, or if there is a transient network or system problem that prevents the license check from completing.