Alfonso Maruccia

Android, scricchiola il DRM salva-licenze

Google l'aveva pensato come un sistema per combattere la pirateria delle app per il suo OS mobile, ma il sistema Ŕ facile da bucare. Mountain View risponde alle accuse di scarsa sicurezza: non Ŕ un DRM, quelli non funzionano

Roma - L'Android Market Licensing non ha nemmeno un mese di vita ed è già storia, per lo meno per quel che concerne il componente pensato per proteggere le applicazioni Android dalla distribuzione e dall'uso non autorizzato. Lo denuncia un ricercatore di sicurezza, a cui Google risponde quasi piccata: nessun meccanismo di protezione è infrangibile, l'autenticazione online del nostro sistema serve soprattutto a trasformare i pirati in consumatori.

Il servizio di licensing (a pagamento) di Google prevede - per gli sviluppatori che volessero avvalersene - che le applicazioni possano fare un controllo online autenticando la copia presente sullo smartphone dell'utente o, in alternativa, riconoscere la suddetta copia come non autorizzata e prevedere un comportamento di conseguenza corrispondente ai desideri del creatore - trasformazione in "trial", blocco totale delle funzionalità o quant'altro.

Alla base del sistema di autenticazione c'è una License Verification Library (LVL), un "componente di protezione alla copia" (come confermano gli stessi portavoce di Google) che dovrebbe in teoria garantire a ogni applicazione il check sicuro della sua legittimità. Ma LVL può essere facilmente "patchato" per dare sempre disco verde a qualsiasi app pirata, denuncia Justin Case di Android Police, eliminando di fatto la protezione della licenza e invalidando l'utilità della piattaforma Market Licensing.
Il DRM e l'intero sistema di validazione di AML sono sostanzialmente inutili, suggerisce Case, e l'attuale situazione della pirateria su Android minaccia di passare da uno stato già "fuori controllo" a una condizione ancora peggiore dal punto di vista degli sviluppatori di app commerciali. Ma Google è di opinione diametralmente opposta e non vede AML e LVL come sistemi di protezione garantiti sicuri al 100 per cento.

"Il componente LVL fornito è l'implementazione di un codice sorgente di riferimento realizzato per essere facilmente compreso e integrato dagli sviluppatori - dice un portavoce di BigG - Per aumentare la protezione delle applicazioni, gli sviluppatori possono aggiungere ulteriori componenti come codice di offuscamento o alterazione dell'implementazione di riferimento".

LVL non è in sostanza un DRM buona per tutte le stagioni, sostiene Google, e la piattaforma AML è stata in prima istanza pensata come un meccanismo di controllo online in grado di fornire "maggior flessibilità nella scelta delle strategie di enforcement della licenza, e un approccio più sicuro alla protezione delle applicazioni dall'uso non autorizzato" rispetto alla mera protezione alla copia. La palla, in definitiva, dovrebbe passare nel campo dei developer.

Alfonso Maruccia
Notizie collegate
  • AttualitàAndroid e i pirati delle appAnnunciato il lancio di un servizio di licensing a favore della comunitÓ di sviluppatori. Le varie applicazioni faranno rapporto ai server di Google, per verificare se queste siano state acquisite legittimamente
83 Commenti alla Notizia Android, scricchiola il DRM salva-licenze
Ordina
  • "non è un DRM, quelli non funzionano"...

    quindi anche loro ne hanno fatto direttamente uno non funzionante.

    Tutti i nodi vengono al pettine
  • - Scritto da: sadness with you
    > "non è un DRM, quelli non funzionano"...
    >
    > quindi anche loro ne hanno fatto direttamente uno
    > non
    > funzionante.
    >
    > Tutti i nodi vengono al pettine

    esercizio di pura logica eh?
  • - Scritto da: sadness with you
    > "non è un DRM, quelli non funzionano"...
    >
    > quindi anche loro ne hanno fatto direttamente uno
    > non
    > funzionante.
    >
    > Tutti i nodi vengono al pettine
    Dovresti leggere di più e sparare minchiate di meno:

    http://it.wikipedia.org/wiki/Digital_rights_manage...
    non+autenticato
  • Trovo un po' troppo "di parte" questo articolo.

    Qualsiasi programmatore non della domenica sa benissimo che un'applicazione in Java si può decompilare (così come una in python, in ruby, in PHP, ecc.).
    Se tu programmatore fai una funzione che si chiama "isAuthorized()" e il pirata la vede nel decompilato, fa presto a farle tornare sempre true. Non è certo rocket science.

    Semplice anche se prendi il codice di esempio dato da Google e lo integri nella tua applicazione. Il pirata lo compila, cerca lo stesso pattern nell'applicazione da craccare e oplà, te la cracca.

    Lo stesso discorso vale anche per linguaggi compilati, anche se lì, tra ottimizzazioni del compilatore e trasformazione in assembly, serve un tracer per trovare la funzione.

    Come ho sempre detto: qualsiasi protezione è violabile, cambia solo il tempo richiesto per farlo.

    Questa non è stata ancora violata, per come la vedo io, semplicemente perché è server side, e si viola solo replicando il server e rapendo i DNS.
    Sono state craccate alcune applicazioni scritte male, ma non il sistema di protezione di Google.

    Bye.
    Shu
    1232
  • - Scritto da: Shu
    > Trovo un po' troppo "di parte" questo articolo.
    ....
    > Questa non è stata ancora violata, per come la
    > vedo io, semplicemente perché è server side, e si
    > viola solo replicando il server e rapendo i
    > DNS.
    > Sono state craccate alcune applicazioni scritte
    > male, ma non il sistema di protezione di
    > Google.
    ....

    Concordo pienamente.
    E tale metodo di protezione e' probabilmente uno dei piu' efficaci per questi usi, in quanto il mascheramento dei server e' fuori portata della maggior parte degli utenti e non credo valga la pena perderci tempo, mentre lato client lascia alla fantasia del programmatore la gestione della sicurezza. Questo significa una maggior frammentazione nel ventaglio dei possibili crack attuabili rendendo meno appetibile l'implementazione. Del resto, se un programmatore vuole guadagnare, bisogna che un po' si impegni......
    non+autenticato
  • la frustrazione di Google: sono anni che produce software free con rendimenti sempre crescenti, profitti che sono passati da negativi a positivi sempre senza far pagare un euro al consumatore privato.

    Queste richieste degli app-maker per maggiori protezioni dalla pirateria devono risultare veramente infantili. I DRM non servono: come diceva Sun Tzu, alcune battaglie si vincono solo non combattendole, cambiando terreno, cambiando battaglia. Cambiando modello di business.
    non+autenticato
  • Quotone!
    non+autenticato
  • ma infatti!! cosa pretendono questi programmatori? di essere pagati?? e perche'? che senza cuore che sono, il loro lavoro deve essere un piacere, donare a tutti deve essere un piacere, e probabilmente anche non mangiare perche' non hanno i soldi deve essere un piacere! oh.. chiaro che possono trovarsi un vero lavoro con il quale produrre beni REALI (cosa che merita un ritorno economico) e nel tempo libero cazzeggiare con il software cosi' da poter sfamare se stessi e famiglia! bah.. egoisti! noi li sconfiggeremo non facendo proprio niente, anzi, quasi quasi mi metto a studiare un bel po', perdendo qualche anno per imparare bene un buon linguaggio di programmazione, librerie grafiche, un bel pacco di matematica e fisica, algoritmi, costruendo un buon motore grafico, magari imparo qualche software di modellazione 3d - giusto per sapere cosa si puo' e non si puo' importareSorride e gli faccio vedere che si puo' - si *deve* - far tutto questo per la gloria!!! - ... naaaa.. scherzavo! torno a inscatolare bottiglie che almeno questo merita di essere pagato! usare il cervello non rende, continuero' a scaricare solo applicazioni gratuite e lascero' quelle (sicuramente obbrobriose) a pagamento dove stanno... almeno saro' coerente con me stesso!
    non+autenticato
  • > anzi, quasi quasi mi metto a studiare un bel po',
    > perdendo qualche anno per imparare bene un buon
    > linguaggio di programmazione, librerie grafiche,
    > un bel pacco di matematica e fisica, algoritmi,
    > costruendo un buon motore grafico, magari imparo
    > qualche software di modellazione 3d - giusto per
    > sapere cosa si puo' e non si puo' importare

    Per la cronaca, io lo faccio

    Sorride e
    > gli faccio vedere che si puo' - si *deve* - far
    > tutto questo per la gloria!!! - ... naaaa..
    > scherzavo! torno a inscatolare bottiglie che
    > almeno questo merita di essere pagato! usare il
    > cervello non rende, continuero' a scaricare solo
    > applicazioni gratuite e lascero' quelle
    > (sicuramente obbrobriose) a pagamento dove
    > stanno... almeno saro' coerente con me
    > stesso!

    No, se ritengo che tutte le applicazioni debbano avere costo zero, è assurdo rinunciare a qualcuna di esse
    non+autenticato
  • - Scritto da: angros
    > > anzi, quasi quasi mi metto a studiare un bel
    > po',
    > > perdendo qualche anno per imparare bene un buon
    > > linguaggio di programmazione, librerie grafiche,
    > > un bel pacco di matematica e fisica, algoritmi,
    > > costruendo un buon motore grafico, magari imparo
    > > qualche software di modellazione 3d - giusto per
    > > sapere cosa si puo' e non si puo' importare
    >
    > Per la cronaca, io lo faccio

    Ottimo, e mi dici dove vai a fare la spesa?


    >
    > Sorride e
    > > gli faccio vedere che si puo' - si *deve* - far
    > > tutto questo per la gloria!!! - ... naaaa..
    > > scherzavo! torno a inscatolare bottiglie che
    > > almeno questo merita di essere pagato! usare il
    > > cervello non rende, continuero' a scaricare solo
    > > applicazioni gratuite e lascero' quelle
    > > (sicuramente obbrobriose) a pagamento dove
    > > stanno... almeno saro' coerente con me
    > > stesso!
    >
    > No, se ritengo che tutte le applicazioni debbano
    > avere costo zero, è assurdo rinunciare a qualcuna
    > di
    > esse

    Ma certo, VOGLIO TUTTO, questo è il tuo motto.
    ruppolo
    33147
  • - Scritto da: ruppolo

    >
    > Ma certo, VOGLIO TUTTO, questo è il tuo motto.

    Le opere digitali occupano poco spazio e sono infinitamente replicabili.
    Quindi il voler tutto non e' esagerazione.
  • > > Per la cronaca, io lo faccio
    >
    > Ottimo, e mi dici dove vai a fare la spesa?

    Al supermercato

    >
    > Ma certo, VOGLIO TUTTO, questo è il tuo motto.

    Sì, per i beni digitali. Dal momento che prendendoli non li tolgo a nessuno, perchè non dovrei?
    non+autenticato
  • Perché chi le ha fatte ha speso tempo REALE per farle, è difficile da capire?
  • Non credo che intendesse questo.
    Sgabbio
    26177
  • - Scritto da: Garson Pollo
    > Perché chi le ha fatte ha speso tempo REALE per
    > farle, è difficile da
    > capire?

    Certo, come e' altrettanto semplice che chi gli ha commissionato quelle applicazioni lo avra' anche pagato.

    Oppure da te funziona che io vengo in casa tua, senza essere invitato, spazzo il pavimento senza che me lo chiedi, e poi passo all'incasso perche' ti ho dedicato del tempo?
  • Non se sono un indie devOcchiolino
  • facile facile da crackare, una singola patch per avere tutte le app che vuoi
    non+autenticato
  • - Scritto da: hp sucks
    > facile facile da crackare, una singola patch per
    > avere tutte le app che
    > vuoi

    E pensare che basterebbe lasciare che le app si possano scaricare gratuitamente ed anonimamente, che non ci sarebbe bisogno di alcun crack.

    Se ci sono i crack, la colpa e' solo dei lucchetti.
    La roba che si puo' scaricare liberamente non e' mai stata craccata.
  • > La roba che si puo' scaricare liberamente non e'
    > mai stata
    > craccata.

    Ne sei sicuro?

    http://attivissimo.blogspot.com/2008/04/un-pesce-d...
    non+autenticato
  • - Scritto da: angros
    > > La roba che si puo' scaricare liberamente non e'
    > > mai stata
    > > craccata.
    >
    > Ne sei sicuro?
    >
    > http://attivissimo.blogspot.com/2008/04/un-pesce-d

    Fantastico! Vado subito a scaricare quel crack!
    Spero ci sia anche per linux pero', ma dubito che sia solo per win.
  • - Scritto da: panda rossa
    > - Scritto da: angros
    > > > La roba che si puo' scaricare liberamente non
    > e'
    > > > mai stata
    > > > craccata.
    > >
    > > Ne sei sicuro?
    > >
    > >
    > http://attivissimo.blogspot.com/2008/04/un-pesce-d
    >
    > Fantastico! Vado subito a scaricare quel crack!
    > Spero ci sia anche per linux pero', ma dubito che
    > sia solo per
    > win.

    il problema è che moltissime app non si possono craccare.. tutte quelle che implementano offuscamento non le cracca.. google ha ragione nel dire che le modalità consegnate agli sviluppatori sono da considerare codici guida da implementare secondo le esigenze dello sviluppatore.. se lo fa bene per lui.. se non lo fa l'app è craccabile
  • - Scritto da: hp sucks
    > facile facile da crackare, una singola patch per
    > avere tutte le app che
    > vuoi

    Esatto, è così che dev'essere, in modo che per Android continuino a rimanere solo applicazioni scritte da dilettanti.
    ruppolo
    33147
  • - Scritto da: ruppolo
    > - Scritto da: hp sucks
    > > facile facile da crackare, una singola patch per
    > > avere tutte le app che
    > > vuoi
    >
    > Esatto, è così che dev'essere, in modo che per
    > Android continuino a rimanere solo applicazioni
    > scritte da
    > dilettanti.

    ruppolo.. hai 30 anni di esperienza e sei un consulente.. ma non ti vergogni da solo a scrivere cose simili?
  • - Scritto da: lordream
    > - Scritto da: ruppolo
    > > - Scritto da: hp sucks
    > > > facile facile da crackare, una singola patch
    > per
    > > > avere tutte le app che
    > > > vuoi
    > >
    > > Esatto, è così che dev'essere, in modo che per
    > > Android continuino a rimanere solo applicazioni
    > > scritte da
    > > dilettanti.
    >
    > ruppolo.. hai 30 anni di esperienza e sei un
    > consulente.. ma non ti vergogni da solo a
    > scrivere cose
    > simili?

    Se vogliamo esaminare la corretta etimologia delle parole, "dilettante" e' colui che fa qualcosa per diletto.
    E io se dovessi mettermi a scrivere delle app per android lo farei per puro e semplice divertimento, senza nulla togliere alla qualita' dell'applicazione che comunque verrebbe scritta da un programmatore di professione, senza neppure l'angoscia di dover rispettare le scadenze, che sono la causa primaria di codice non testato e non documentato.

    Se invece volessimo attribuire a "dilettante" un altro significato, allora possiamo pensare ad applicazioni come iFart.
  • - Scritto da: panda rossa

    > Se invece volessimo attribuire a "dilettante" un
    > altro significato, allora possiamo pensare ad
    > applicazioni come
    > iFart.

    Mi secca ammetterlo, ma chi ha scritto iFart e ha guadagnato 10 milioni di dollari non è un dilettante è un genio del marketing.

    Ci sono molte app scritte da dilettanti anche su AppStore, ma iFart non è una di queste.

    Fan LinuxFan Apple
  • - Scritto da: FinalCut
    > - Scritto da: panda rossa
    >
    > > Se invece volessimo attribuire a "dilettante" un
    > > altro significato, allora possiamo pensare ad
    > > applicazioni come
    > > iFart.
    >
    > Mi secca ammetterlo, ma chi ha scritto iFart e ha
    > guadagnato 10 milioni di dollari non è un
    > dilettante è un genio del
    > marketing.

    Questo non toglie che l'applicazione sia degna di quello che fa, e chi l'ha acquistata ne sia un degno cliente.

    La madre degli sciocchi e' sempre incinta. (cit.)
  • Ma un dilettante programmatore ti ha morso anni fa, per menare con questa storia ?
    Sgabbio
    26177