2010-08-24

(DE) Android Licensing ausgehebelt

* sehr interessanter Artikel mit Hintergründen zum Patch
* Thread auf der Android Developers Mailing-Liste
* Reaktion von Google

Im wesentlichen geht es darum die apk zu disassemblieren,
das Code-Stückchen, welche entscheidet ob die Antwort vom Server ein
"Lizensiert" oder ein "Nicht Lizensiert" ist zu patchen, das ganze
neu zu compilieren und mit einem eigenen Key signiert auf das Handy
zu bringen.

Warum wurde hier keine Prüfung der Signatur gemacht?

Gegenmaßnahmen:
Momentan nur dieses Code-Stückchen mehrmals in der App zu haben als Honeypot und so Manipulatonen zu erkennen.

Grundlegendes Proble:
In den meisten Längern KÖNNEN die Kunden die App nicht kaufen weil Google Checkout nur in einer Hand voll Ländern angeboten wird.
Entsprechend ist das Knacken der einzige Weg für diese Leute und entsprechend hoch ist die Motivation für Cracker.

Fazit:
Licence-Verification nicht als Drop-In Library einfach reinkippen sondern sich Mühe geben es Crackern schwer zu machen. Verhindern läßt es sich nicht.
Kommentar veröffentlichen