Roma - L'
Android Market Licensing non ha nemmeno un mese di vita ed è già storia, per lo meno per quel che concerne il componente pensato per proteggere le applicazioni Android dalla distribuzione e dall'uso non autorizzato. Lo denuncia un ricercatore di sicurezza, a cui Google risponde quasi piccata:
nessun meccanismo di protezione è infrangibile, l'autenticazione online del nostro sistema serve soprattutto a trasformare i pirati in consumatori.
Il servizio di licensing (a pagamento) di Google prevede - per gli sviluppatori che volessero avvalersene - che le applicazioni possano fare un
controllo online autenticando la copia presente sullo smartphone dell'utente o, in alternativa, riconoscere la suddetta copia come non autorizzata e prevedere un comportamento di conseguenza corrispondente ai desideri del creatore - trasformazione in "trial", blocco totale delle funzionalità o quant'altro.
Alla base del sistema di autenticazione c'è una
License Verification Library (LVL), un "componente di protezione alla copia" (come confermano gli stessi portavoce di Google) che dovrebbe in teoria garantire a ogni applicazione il check sicuro della sua legittimità. Ma LVL può essere facilmente "patchato" per
dare sempre disco verde a qualsiasi app pirata,
denuncia Justin Case di
Android Police, eliminando di fatto la protezione della licenza e invalidando l'utilità della piattaforma Market Licensing.
Il DRM e l'intero sistema di validazione di AML sono sostanzialmente inutili, suggerisce Case, e l'attuale situazione della pirateria su Android minaccia di passare da uno stato già "fuori controllo" a una condizione ancora peggiore dal punto di vista degli sviluppatori di app commerciali. Ma Google è di opinione diametralmente opposta e
non vede AML e LVL come sistemi di protezione garantiti sicuri al 100 per cento.
"Il componente LVL fornito è l'implementazione di un codice sorgente di riferimento realizzato per essere facilmente compreso e integrato dagli sviluppatori -
dice un portavoce di BigG - Per aumentare la protezione delle applicazioni, gli sviluppatori possono aggiungere ulteriori componenti come codice di offuscamento o alterazione dell'implementazione di riferimento".
LVL non è in sostanza un DRM buona per tutte le stagioni, sostiene Google, e la piattaforma AML è stata in prima istanza pensata come un meccanismo di controllo online in grado di fornire "maggior flessibilità nella scelta delle strategie di enforcement della licenza, e un approccio più sicuro alla protezione delle applicazioni dall'uso non autorizzato" rispetto alla mera protezione alla copia. La palla, in definitiva, dovrebbe passare nel campo dei developer.
Alfonso Maruccia