E' proprio di alcune ore fa la notizia di un nuovo sistema di protezione per le proprie applicazioni. Google infatti avrebbe creato una libreria esterna, compatibile da android 1.5 in poi, che darebbe la possibilità agli sviluppatori di aggiungere un nuovo livello di protezione alle proprie apps.
Il sistema è semplice: per ogni sviluppatore vengono create delle chiavi pubbliche e private. L'applicazione potrà richiedere, ogni volta che gli pare, ai servers di google lo stato di pagamento da parte dell'utente utilizzatore.
In pratica ecco uno schemino:
[ad#ad-androidiani-1]
L’applicazione richiede al market lo stato del pagamento dell’utente il quale andrà a fare una richiesta internet al cosidetto “Market License Server” che ritornerà lo stato della Licenza ( in maniera signata ).
Questo sistema dovrebbe garantire una maggiore protezione e tutela verso gli sviluppatori che si sono visti svanire le prospettive di guadagno a causa del DRM bacato di android.
Tuttavia mi permetto di anticipare che questa soluzione presenta già 2 falle:
- La presenza di internet: Se il cellulare non è in copertura, oppure il market License server viene rediretto su un indirizzo non valido, non avremo risposta della validità della licenza. Questo significa che lo sviluppatore deve decidere se permettere all’utente di usare l’app anche se non si è ricevuta risposta per la licenza.
- La reversibilità: I più esperti tra voi già sapranno che la comunità android ha modificato più e più volte google maps per abilitare la funzione navigator anche in italia. Questo significa che le applicazioni molto conosciute potrebbero essere degli ottimi target per i “cracker” che teoricamente non avrebbero poi tutta questa difficoltà nell’ annullare tutto questo processo.
Togliendo queste due piccole falle questa nuova funzionalità dovrebbe far dormire sonni tranquilli alla maggior parte degli sviluppatori :).
a wow :) beh, io non voglio spendere soldi per Asphalt 5 e NOVA, ma fanno bene :D
La prima falla non è da poco…..
… su due piedi non mi viene in mente una soluzione che metta tutti al sicuro (e che non sia aggirabile :P)
doppio post, sorry
E' importantissimo tutelare gli sviluppatori ma io NON voglio pagare un consumo extra di batteria, risorse e traffico dati inutile dato che ho già acquistato LEGALMENTE il programma.
E' impensabile che con 100 applicazioni installate sul telefono questo controllo antipirateria mi faccia il check del mio pagamento una volta al giorno(per dire) perchè questo significa 100 controlli al giorno.
E se la applicazione la killo da taskmanager?
Questa proposta antipirateria fa acqua da tutte le parti, è una idiozia. Inoltre che ci vuole a crackare una applicazione per eludere questi controlli?
Se google non la cambia gli si ritorcerà contro.
Sarebbe invece molto + furbo fare un “controllo serial-key” dell'applicazione appena installata via web, ma SOLO ED ESCLUSIVAMENTE la prima volta.
ciao
quoto la pirateria va combattuta..anche se il prodotto vale vende lo stesso..guardate cosa succede con apple-itunes store…. appena esce l' app ufficialmente dopo mezz ora la trovi sul “canale pirata”… eppure ciononostante la gameloft grazie ad iphone ha aumentato il proprio bilancio..eppure i suoi giochi sono i più bersagliati dalla pirateria… comunque vedremo per android…
ma non basterebbe fare un bind fra applicazione acquistata e device ? senza fare tutti questi poll tcp
secondo me è crackabile tutto ciò che è installato in locale, le uniche cose “non crackabili” sono i servizi a pagamento sul web , faccio un esempio , Grooveshark o paghi la licenza oppure non ti streammano, ma questo perchè ? perchè fondamentalmente non sei piu tu a decidere se azionare la leva o no, ma un server remoto che in base ai tuoi privilegi acquisiti decide se sei o non sei idoneo ad usufruire di un certo servizio .
My prediction :
In locale non puoi fare nulla…. prenderanno a bastonate questo sistema , qualcuno ha già comprato le salsicce …
Beh, si può sempre far scaricare l'app dal market, legare l'applicazione al telefono, generando un codice cifrato legato ad esempio all'IMEI, e far acquistare la licenza con codice di sblocco attraverso un sito.
gnappy. Tieni presente che l'utente ha 1 giorno per fare refund. Se lo sviluppatore è intelligiente farà al massimo 2 checks. 1 all'installazione e 1 la prima apertura dopo 2 giorni dall'installazione.
Questo porterà via pochissima batteria :)
Si, hai ragione, il mio però era ovviamente un caso limite che però da bene l'idea della “lacunosità” di tale sistema… :)
Inolte hai detto bene “se lo sviluppatore è intelligente”! Ma se non lo è? Chi mette i paletti a questi controlli? E, se anche ci fossero, chi controlla il codice prima di pubblicarlo?
E se io, ad esempio, non avessi una flat dati e tutti i programmi li compro dal market per mezzo di router wifi della mia connessione fissa?
Non ti credere caro Andrea, io non sono uno di quei pignoloni diffidenti che di fronte a queste notizie si sentono privati della “libertà di masterizzare”(lol), però mi gira il cazzo aver fatto 5 anni di università ad ottimizzare algoritmi per poi trovare queste soluzioni completamente campate in aria!!
io premo refresh dal browser ma i commenti nuovi li posso vedere soltanto leggendoli via mail , How dick is it ?
ferma la mula !!
sto fetentone di server mi mandava messaggi vecchi ecco perchè non li vedevo in cima !
figura del …. !
Bè, su iPhone il 6% degli utenti lo sbloccano. Quindi il 94 compra le app, e questo se tutti quelli che lo sbloccassero la cracca (io ho iphone jb e non cracco nulla)
Ottima cosa, almeno si ridurrà la pirateria da parte di chi non ha ne voglia ne tempo di mettersi a cercare versioni pirata che inevitabilmente usciranno…
be forse gli utenti che ( più o meno gisutamente,lasciatemelo dire) provavano a scroccare qualcosa,rimaranno delusi, ma se può servire ad incoraggiare altri sviluppatori e dar più visibilità e affidabilità ad android, ben venga. lo stre apple,per espereinza.
, so essere molta più apparenza che sostanza, per fare il definitvo sorpasso,si potrebbe puntare anche sulla maggiorne serità di google.
Potresti provare a proporne una tu :P
un modello che potrebbe avere buoni risultati sarebbe dividere l'app in piu' parti di codice :
il motore lo lasci a terra … gli altri pezzi (che io chiamerò moduli) saranno scaricati da internet, per funzionare a PIENO regime l'applicazione ha biosgno di essi, questa non se li salva (volutamente) perchè deve esserne strettamente dipendente .
Non sono un esperto di codice, ma se c'è un modo per essere un pochettino piu sicuri di certo non sta nel telefono la soluzione, secondo il mio punto di vista ci vuole l'aiuto della connessione .
Non è il mio lavoro e il mio contributo lo do già comprando le applicazioni ;)
Si ma a questo punto si perde un po' l'utilità del market….
Secondo me dovrebbero creare una hardware key che sia combo tra hardware, imei e sim. Una chiave univoca(e cmq basterebbe prendere il mac del modulo wireless) che viene inviata dal mio telefono al server di download PRIMA di scaricare il gioco. In questo modo l'app funzionerà solamente su quel terminale specifico.
Dopo 6 mesi cambio terminale android? Bene, sul mio account google c'è cmq traccia del mio acquisto e quando voglio riscaricare l'applicazione mi fa scaricare una nuova apk con la mia nuova key.
Anche in questo caso la pirateria non verrà eliminata ma, come le altre soluzioni, è la meno “stressante” per l'utente finale onesto e limiterà comunque la pirateria selvaggia che c'è ora.
Esatto, generalmente qualsiasi protezione interna al programma può essere “estirpata”
e no… perchè ora se cambi cellulare (sempre android) puoi scaricare tutte le app che avevi (soprattutto quelle a pagamento) se leghi l'app all'IMEI una volta cambiato cellulare devi ripagare tutto…
“in maniera signata”???
semmai “firmata”! ;)
si parla di pirateria ma intanto…
“Millions of Android users hit by malicious data theft app”
Sembra che si tratti di un'applicazione per cambiare i wallpapers che inviava cronologia di navigazione, sms, seriale della sim, identificazione dell'utente e password della voice mail ad un server appartenente ad un tizio di Shenzhen, Cina.
Sono stati colpiti tra 1,1 e 4,6 milioni di utenti (il market di Google per ora non fornisce dettagli).
era ora. Il discorso è: rendere sempre più difficile la pirateria… Non la elimini del tutto, ma senz'altro gli utenti distratti, con poco tempo, poco smanettoni, pian piano desisteranno.
[…] Via […]
Io credo che, indipendentemente dalla 'vulnerabilità' del processo di licensing sia più importante capire se fare il crack dell'applicazione sia vantaggioso.
Se io vendo app a 30€ sul market android allora forse può valerne la pena, ma se le app le vendo a 1-2€ forse crackare licensing e/o l'app assume un valore davvero ridicolo.
Inoltre se metti anche versione free con ads, a mio avviso il modello è il miglior compromesso.
Non esistono le soluzioni ottime in senso assoluto, esistono le soluzioni ottime nel contesto.
Se guardiamo il numero di app a pagamento rispetto a quelle free sul market android e sull'appstore ci accorgeremmo che le percentuali sono invertite, così come lo sono il numero di device rooted rispetto a quelli stock.
Detto questo se metti un livello di protezione sufficientemente sicuro, accoppiandolo ad un modello di vendita più basato sull'advertices rispetto che al pagamento, il sistema assume secondo me parecchio senso.
Questo è vero, ma si potrebbe trovare un modo per disabilitare le licenze sul vecchio cellulare ed abilitarle sul nuovo. Ad esempio l'utente potrebbe disabilitare il funzionamento dell'app da un'apposita funzione inserita all'interno della stessa app, facendogli generare un altro codice cifrato (legato all'IMEI). Il secondo codice, contenente in forma cifrata anche l'IMEI del telefono, andrebbe inviato allo sviluppatore dell'app, che verrebbe così informato che questa non è più attiva sul telefono del cliente e che quindi quest'ultimo è autorizzato ad attivarne una nuova su un altro telefono. Ovviamente si tratta di una procedura alquanto contorta.
Questo è vero, ma si potrebbe trovare un modo per disabilitare le licenze sul vecchio cellulare ed abilitarle sul nuovo. Ad esempio l'utente potrebbe disabilitare il funzionamento dell'app da un'apposita funzione inserita all'interno della stessa app, facendogli generare un altro codice cifrato (legato all'IMEI). Il secondo codice, contenente in forma cifrata anche l'IMEI del telefono, andrebbe inviato allo sviluppatore dell'app, che verrebbe così informato che questa non è più attiva sul telefono del cliente e che quindi quest'ultimo è autorizzato ad attivarne una nuova su un altro telefono. Ovviamente si tratta di una procedura alquanto contorta.
Solo un sacco di FUD, la stessa MyLookout (che ha segnalato il problema) ha ritrattato la pericolosità della cosa. Si tratta di una società che si occupa di SICUREZZA e che quindi ha tutto l'interesse nello scatenare FUD.
Sappiamo bene come funziona la concessione dei permessi alle app di Android. Sta all'utente dare l'ok.
Rendiamoci anche conto che i permessi NON consentono di fare tutto! Solo alcuni limitati compiti, tra cui NON c'è quello di riuscire a recuperare password.
L'applicazione è stata scaricata da meno di 150 mila persone, altro che 1.1-4.6 milioni.
Sono incazzato nero molte applicazioni REGOLARMENTE acquistate smettono improvvisamente di funzionare per mancanza di validità. Se volete ancora vendere dovete rendere più stabile questo sistema.