Piratage du système de vérification de licence Android : Google réagit

Sur le blog des développeurs Android, Tim Bray minimise l'impact du hack dévoilé avant-hier.

Eric Le Bourlout

01net

le 25/08/10 à 18h01

4 réactions

envoyer
par mail

imprimer
l'article

Partager |

Mise à jour du 25 août 2010

Google a publié une courte mise au point sur son blog dédié aux développeurs Android, à la suite de la publication, avant-hier, d'une technique permettant de contourner aisément le système de protection mis en place par la firme pour contrer les pirates d'applications payantes. Tim Bray, ambassadeur auprès des développeurs pour Google, indique d'abord que même le pirate ayant publié cette technique reconnaît que le système de vérification de licence de Google « demeure la meilleure option ».

L'ambassadeur rappelle ensuite que cette première version est « la plus simple, la plus transparente implémentation, conçue pour être facilement compréhensible et modifiable, plutôt qu'axée sur la sécurité ». Et poursuit en intimant aux programmeurs de pratiquer « l'obfuscation de leur code [brouillage, ndlr] », afin de rendre la tâche des pirates plus difficile… Le hacker du système de licence précisait, quant à lui, qu'il serait encore possible d'appliquer sa technique même si le code avait été brouillé.

L'auteur du billet minimise la portée du hack, expliquant que seules quelques applis l'utilisent déjà. Il reconnaît néanmoins qu'une protection contre le piratage à 100 % est impossible, mais que le serveur complique largement la tâche aux pirates. « L'économie va dans le sens des développeurs et à l'encontre des pirates », conclut Tim Bray.

Première publication le 24 août 2010

Un hacker contourne le système de vérification de licence d'Android

Présenté par Google il y a quelques semaines, l'outil de vérification de licence des applications payantes a déjà été contourné.

A peine lancé, déjà piraté. Le système anticopie inauguré par Google il y a quelques semaines seulement n'aura pas résisté longtemps. La Licence Verification Library, censée vérifier si une application payante d'un téléphone Android a bel et bien été réglée et non piratée, a en effet été contournée - assez facilement- par un développeur.

Dans un long article paru sur le site Android Police, l'auteur, « très opposé au piratage et très favorable à Google », a voulu démontrer à quel point il était facile pour un pirate de casser la protection mise en œuvre par la firme américaine. Système inauguré afin de rassurer une communauté de programmeurs de plus en plus inquiète face à l'important taux de piratage sur l'Android Market.

Un contournement trop facile ?

Pour cela, il a choisi de « déplomber » deux applications payantes et protégées par le service de Google : Tasker et Star Hunt. Il explique ensuite la procédure qu'il a suivie pour utiliser gratuitement une application pourtant payante. Complexe pour le béotien, la marche à suivre s'avère plutôt simple pour qui connaît le langage Java et les outils de développement Android.

Notre hacker a ainsi utilisé un logiciel de désassemblage spécifique aux applications du système d'exploitation de Google. Puis, en analysant le code du programme, il a découvert la section du logiciel réservée à l'outil de validation de licences. Il a simplement modifié le comportement de l'application afin qu'elle continue à fonctionner normalement lorsqu'elle reçoit une réponse négative du serveur de Google.

Il lui a suffi de modifier quelques caractères dans une ligne de code… Trop facile ? Apparemment ! Notre hacker prédit en tout cas que les pirates n'auront aucun mal à fournir des versions « patchées » d'applications pourtant protégées par le DRM de Google. « Le service de Licences de Google est toujours, selon moi, la meilleure option de protection contre la copie. Cependant, nous avons vraiment besoin d'une meilleure solution. »

La démo en vidéo :