Discussion :

[Gordon Fowler]

Android : la protection des licences déjà « facilement » détournée
Google minimise et défend son système de signature


Mise à jour du 25/08/2010 par Idelways

Le système de protection des licences de l'Android Market, mis en place par Google il y'a moins d'un mois (lire ci-avant) est déjà craqué. Et d'une manière relativement simple.

Sur un message posté sur AndridPolice, un développeur prétend — démonstration à l'appui — pouvoir briser la protection LVL (Licence Verification Library) en changeant quelque lignes de codes.

Justin Case, l'auteur de l'article se dit pourtant « opposé au piratage et pro-Google » et explique que le but de sa démarche est d'améliorer les systèmes de protection des applications.

Pourtant, même si l'utilisateur lambda n'est pas en mesure d'exploiter directement cette faille, beaucoup d'utilisateurs avancés (dont font partie les membres de ce forum) peuvent craquer les applications et pourraient en distribuer des copies illégales.

La réponse de Google ne s'est pas faite attendre.

Tim Bray tente de clarifier quelques informations à propos de LVL.

Il concède que "la protection à 100% contre la piraterie n'existe pas pour les systèmes qui exécutent du code tiers", mais il dit qu'avec une bonne sécurité, il est possible de rendre extrêmement difficile et coûteux le piratage logiciel.

Bray prend la défense de son système de protection, qu'il qualifie de « très jeune », sa première version inclurait pour l'instant l'implémentation la plus simple et la plus transparente pour des raisons de clarté.

Dans le détail, l'exploit (ou plus exactement le « crack ») s'appuie sur le fait que les applications pour Android sont distribuées sous forme de byte-codes comme toute application Java. Ce bytecode peut être décompilé en un code source très proche du code original.

Une fois ce code obtenu, le « pirate » n'a qu'à trouver la classe LicenceValidator et changer le comportement de l'application quand le serveur de vérification répond que la licence est invalide. Ne reste plus qu'à recompiler et redistribuer l'application.

Une prochaine version de LVL devrait donc assez rapidement voir le jour.

Même si comme Tim Bray le souligne, cette première version est déjà très populaire auprès des développeurs. Et qu'elle rend, quoi qu'on en dise, la crackage des applications Android déjà nettement moins « user friendly » que par le passé.

Source : Site AndroidPolice

Lire aussi :

L'Android Market passe la barre des 100 000 applications

Android : premier « Cheval de Troie » camouflé dans un jeu, Tapesnake envoie le positionnement GPS du smartphone à des tiers

Oracle poursuit Google en justice pour son utilisation de Java dans Android : le succès de l'OS mobile attiserait-il les appétits


Et vous ?

Google arrivera-t-il à protéger les applications Android payantes contre le piratage ?

Quels protections proposez-vous pour y arriver ?


En collaboration avec Gordon Fowler






Android : nouveau système de sécurité pour protéger les applications
Payantes du piratage, elles devront se connecter aux serveurs de Google




Google lance un nouveau process d'authentification des applications payantes sous Android pour lutter contre le piratage. Ce nouveau « Licensing Service for Android » consiste à obliger l'application à se connecter aux serveurs de Google pour vérifier qu'elle a bien été achetée et non pas illégalement copiée... si son auteur souhaite protéger sa création bien entendu.

Cette sécurisation de type Cloud, pose quelques problèmes. La principale question, pour l'utilisateur, est de savoir ce qui se passe s'il veut utiliser l'application dans un endroit sans couverture internet.

Google précise que le développeur pourra choisir la fréquence du Ping avec les serveurs de Moutain View : à chaque lancement ou une fois par semaine par exemple.

Autre question : que faire lorsqu'une application piratée est repérée ?

Là encore le choix sera laissé au développeur. L'application pourra être bloquée ou, de manière plus commerciale, passer directement en mode de démo limitée pour pousser à l'achat.

Cette nouvelle fonctionnalité de contrôle pourra être implémentée sur les versions 1.5 et supérieures d'Android (autrement dit quasiment toutes les versions de l'OS). Le guide de développement se trouve ici.

Des détails techniques, notamment sur le nouvel outil du SDK (le License Verification Library, alias LVL) sont également exposés sur cette page.

Et comme un dessin vaut toujours mieux qu'un long discours, voici, en résumé, ces détails techniques :






Source : Annonce de Google


Lire aussi :


« Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur », répond Google, après l'étude sur Android Market

Les rubriques (actu, forums, tutos) de Développez :

Android
Sécurité
Mobiles


Et vous ?

En temps que développeur, trouvez-vous que ce nouveau mécanisme de protection soit une bonne idée ?

Et en temps qu'utilisateur ?

[FailMan]

A quand des applications piratées simulant un serveur Google pour que l'application se connecte dessus en la validant ...

[dams78]

La seule application que j'ai achetée sur Android est CoPilot (GPS), comment je fais si je suis hors de l'Europe pour la lancer si elle a besoin d'un accès au net?
Il serait plus pratique d'utiliser ce procédé uniquement lors du premier lancement de l'application, je trouve...

[fabrice91]

comment je fais si je suis hors de l'Europe pour la lancer si elle a besoin d'un accès au net?

Y a pas de net en dehors de l'Europe ???
Damned, on est diablement en avance !!!

[Klaim]

Si l'application en question peut réagir selon ce que le dévelopeur veut, la meilleure solution pour le développeur est d'afficher un message a chaque demarrage de l'application qui dirait quelque chose comme "Votre application n'est pas une copie légale. Vous pouvez continuer à l'utiliser mais n'oubliez pas qu'il y a des développeurs à nourrir pour qu'elle continue d'exister et de s'améliorer. Si l'application vous plait, envisagez de l'acheter "

Pas mal de développeurs de jeux (dont les premiers Id Software pour le premier Doom) considèrent que c'est certainement la meilleure protection qu'on puisse mettre en place, si on veut en mettre une. L'idée est que ça se passe au niveau de la conscience de l'utilisateur, qui sait alors qu'on sait qu'il est fautif et envisagera d'acheter. S'il n'achète pas alors de toutes manières qui n'aurait pas acheté alors autant lui laisser une nuisance mineure (le message au démarrage) mais ne pas faire plus parce que ça détériore la vision de l'application.

Une autre solution sympa est d'afficher le nom du détenteur de l'application (celui qui l'a acheté, qui a la licence) au démarage, rien de plus. Il y a un effet psychologique qui marche pas mal.

[MrDuChnok]

J'ai pas pu tester ce nouveau service proposé, mais la description me parait pas mal et je pense que je l'utiliserais à terme.
De ce que j'ai lu, il y a beaucoup de souplesse dans la gestion des licences. Le développeur choisi vraiment s'il veut mettre en place ce système, et si oui, quelle réaction il doit avoir face à une application piratée.

Donc chaque développeur fixe les règles pour son application : Rythme de la vérification (aucune / à l'installation / au premier lancement / à chaque lancement / de temps en temps), Type de "répression" (aucune, popup, fermeture de l'appli, redirection vers le téléchargement de la version "gratuite", activation d'un mode dégradé, etc), etc

Je ne vois pas en quoi ça gêne les utilisateurs, mise à part ceux qui ont installé des versions piratés des applications.
Le seul truc, c'est les communications data que ça va impliquer. Mais l'envoi d'une clé à mon avis ça pèse pas bien lourd.

edit : Vu que c'est le développeur qui à la main sur le contrôle de la licence, on peut très bien imaginer un système où l'application averti l'utilisateur "Vous avez 10/15/20 jours pour faire valider votre copie" en cas de non disponibilité du réseau Internet sur le mobile.

[Hellwing]

Je serais plutôt d'avis de pouvoir utiliser l'application tant que son dernier accès au net l'a validée (donc sans notion de durée fixe).
Par conséquent, une application piratée peut être utilisée tant que le smartphone n'est pas connecté au net. Dès lors que le smartphone se connecte, PAF elle est grillée.

Je n'utilise pas de smartphone car je n'en vois pas encore l'utilité pour mes besoins, donc je suppose qu'un smartphone qui ne se connecte jamais au net doit être rare.

[buzzkaido]

Je serais plutôt d'avis de pouvoir utiliser l'application tant que son dernier accès au net l'a validée (donc sans notion de durée fixe).
Par conséquent, une application piratée peut être utilisée tant que le smartphone n'est pas connecté au net. Dès lors que le smartphone se connecte, PAF elle est grillée.

Je n'utilise pas de smartphone non plus, mais cette utilisation me parait la plus intelligente.

Quoiqu'il en soit, vu que c'est laissé au libre choix du programmeur, si ça pose tant de problèmes que ça, les programmeurs vont vite arrêter de l'utiliser.

[FailMan]

Il serait plus pratique d'utiliser ce procédé uniquement lors du premier lancement de l'application, je trouve...

J'y pensais aussi, mais à mon avis ça va être rapidement court-circuité.

Y a pas de net en dehors de l'Europe ???
Damned, on est diablement en avance !!!

Si en plus de l'application à 10€ tu dois payer à chaque lancement 3€ de connexion 3G à l'étranger parce que ce n'est pas compris dans le forfait, ça risque d'en rebuter certains.

[Lyche]

La seule application que j'ai achetée sur Android est CoPilot (GPS), comment je fais si je suis hors de l'Europe pour la lancer si elle a besoin d'un accès au net?
Il serait plus pratique d'utiliser ce procédé uniquement lors du premier lancement de l'application, je trouve...

Tu douilles avec des factures web à 800€ pour ton séjour :/

[Oussapik]

En termes de développement, cela propose un moyen simple pour vérifier l'utilisation légale de l'application, c'est donc un plus.

Mais au niveau de l'expérience utilisateur, je trouve qu'une application utilisant ce système est limite scandaleux. Je pense que, si on a moyen de savoir que l'appli utilise ce système, je serais prêt à refuser tout simplement l'achat de la dite-application. ça me rappelle quand même fortement une gestion de l'authenticité des licences de certains jeux où ils faut être connecté pour jouer même si le jeu n'a pas besoin de réseau...

Pour conclure, en tant qu'utilisateur et développeur (à mes heures perdues pour mon android) que je suis, ça ne me parait pas une bonne idée :s

[Idelways]

Android : la protection des licences déjà « facilement » détournée
Google minimise et défend son système de signature


Mise à jour du 25/08/2010 par Idelways

Le système de protection des licences de l'Android Market, mis en place par Google il y a moins d'un mois (lire ci-avant) est déjà craqué. Et d'une manière relativement simple.

Sur un message posté sur AndridPolice, un développeur prétend — démonstration à l'appui — pouvoir briser la protection LVL (Licence Verification Library) en changeant quelque lignes de codes.

Justin Case, l'auteur de l'article se dit pourtant « opposé au piratage et pro-Google » et explique que le but de sa démarche est d'améliorer les systèmes de protection des applications.

Pourtant, même si l'utilisateur lambda n'est pas en mesure d'exploiter directement cette faille, beaucoup d'utilisateurs avancés (dont font partie les membres de ce forum) peuvent craquer les applications et pourraient en distribuer des copies illégales.

La réponse de Google ne s'est pas faite attendre.

Tim Bray tente de clarifier quelques informations à propos de LVL.

Il concède que "la protection à 100% contre la piraterie n'existe pas pour les systèmes qui exécutent du code tiers", mais il dit qu'avec une bonne sécurité, il est possible de rendre extrêmement difficile et coûteux le piratage logiciel.

Bray prend la défense de son système de protection, qu'il qualifie de « très jeune », sa première version inclurait pour l'instant l'implémentation la plus simple et la plus transparente pour des raisons de clarté.

Dans le détail, l'exploit (ou plus exactement le « crack ») s'appuie sur le fait que les applications pour Android sont distribuées sous forme de byte-codes comme toute application Java. Ce bytecode peut être décompilé en un code source très proche du code original.

Une fois ce code obtenu, le « pirate » n'a qu'à trouver la classe LicenceValidator et changer le comportement de l'application quand le serveur de vérification répond que la licence est invalide. Ne reste plus qu'à recompiler et redistribuer l'application.

[ame="http://www.youtube.com/watch?v=eMZ4qYbpN_s"]Vidéo : Briser l'Android Licensing Verification Library (LVL)[/ame]

Une prochaine version de LVL devrait donc assez rapidement voir le jour.

Même si comme Tim Bray le souligne, cette première version est déjà très populaire auprès des développeurs. Et qu'elle rend, quoi qu'on en dise, la crackage des applications Android déjà nettement moins « user friendly » que par le passé.

Source : Site AndroidPolice

Lire aussi :

L'Android Market passe la barre des 100 000 applications

Android : premier « Cheval de Troie » camouflé dans un jeu, Tapesnake envoie le positionnement GPS du smartphone à des tiers

Oracle poursuit Google en justice pour son utilisation de Java dans Android : le succès de l'OS mobile attiserait-il les appétits


Et vous ?

Google arrivera-t-il à protéger les applications Android payantes contre le piratage ?

Quelles protections proposez-vous pour y arriver ?


En collaboration avec Gordon Fowler

[galien]

Pourquoi google n'utilise pas la sécurité de java tout simplement, il ont déjà pompé les 3/4 de la JVM avec Davik, ils en sont pas à ça près.

[MrDuChnok]

C'est quoi cette "sécurité de java" dont tu parles ?

[Médinoc]

En gros, Palladium est arrivé.

Enfin, cette faille est sûrement facile à corriger avec des signatures numériques sur le code...

[galien]

"C'est quoi cette "sécurité de java" dont tu parles ?"

Je sais pas la signature des jars par exemple.
Les politiques de sécurités du class loader, etc...
Bref tout ça

Edit: dire sécurité de la plateforme d'exécution java serait plus précis.

[ferfich25]

j'ai lu sur http://www.apkwow.com que toutes les applications payantes que vous publiez sur Google Play peuvent utiliser le service de gestion de licence de celui-ci, et vous pouvez gérer les licences de toutes vos applications à partir de votre compte sur la console développeur Google Play. Aucun compte spécial ou enregistrement supplémentaire n'est nécessaire. Par ailleurs, du fait que ce service n'utilise aucune API dédiée du framework Android, vous pouvez mettre en œuvre le système de gestion de licence dans n'importe quelle application existante basée sur l'API niveau 3 ou une API de niveau supérieur.