L’ Android Market Licensing non ha nemmeno un mese di vita ed è già storia, per lo meno per quel che concerne il componente pensato per proteggere le applicazioni Android dalla distribuzione e dall’uso non autorizzato. Lo denuncia un ricercatore di sicurezza, a cui Google risponde quasi piccata: nessun meccanismo di protezione è infrangibile , l’autenticazione online del nostro sistema serve soprattutto a trasformare i pirati in consumatori.
Il servizio di licensing (a pagamento) di Google prevede – per gli sviluppatori che volessero avvalersene – che le applicazioni possano fare un controllo online autenticando la copia presente sullo smartphone dell’utente o, in alternativa, riconoscere la suddetta copia come non autorizzata e prevedere un comportamento di conseguenza corrispondente ai desideri del creatore – trasformazione in “trial”, blocco totale delle funzionalità o quant’altro.
Alla base del sistema di autenticazione c’è una License Verification Library (LVL), un “componente di protezione alla copia” (come confermano gli stessi portavoce di Google) che dovrebbe in teoria garantire a ogni applicazione il check sicuro della sua legittimità. Ma LVL può essere facilmente “patchato” per dare sempre disco verde a qualsiasi app pirata , denuncia Justin Case di Android Police , eliminando di fatto la protezione della licenza e invalidando l’utilità della piattaforma Market Licensing.
Il DRM e l’intero sistema di validazione di AML sono sostanzialmente inutili, suggerisce Case, e l’attuale situazione della pirateria su Android minaccia di passare da uno stato già “fuori controllo” a una condizione ancora peggiore dal punto di vista degli sviluppatori di app commerciali. Ma Google è di opinione diametralmente opposta e non vede AML e LVL come sistemi di protezione garantiti sicuri al 100 per cento .
“Il componente LVL fornito è l’implementazione di un codice sorgente di riferimento realizzato per essere facilmente compreso e integrato dagli sviluppatori – dice un portavoce di BigG – Per aumentare la protezione delle applicazioni, gli sviluppatori possono aggiungere ulteriori componenti come codice di offuscamento o alterazione dell’implementazione di riferimento”.
LVL non è in sostanza un DRM buona per tutte le stagioni, sostiene Google, e la piattaforma AML è stata in prima istanza pensata come un meccanismo di controllo online in grado di fornire “maggior flessibilità nella scelta delle strategie di enforcement della licenza, e un approccio più sicuro alla protezione delle applicazioni dall’uso non autorizzato” rispetto alla mera protezione alla copia. La palla, in definitiva, dovrebbe passare nel campo dei developer.
Alfonso Maruccia
Ti potrebbe interessare
25 ago 2010