Android Entwickler bekommen Lizenzschutz von Google

Dienstag 27th Juli 2010 · 6 Kommentare

in Android,Entwicklungen,Security

Android Market LizenzserverIn den letzten Tagen gab es viel Neues rund um Androids Market, so wurden die die Marketbedingungen angepasst und sollen in Zukunft die Möglichkeit bieten Apps 48 Stunden lang, anstelle von 24 Stunden zu testen, sowie die Vorbereitung zur Abrechnung über den Mobilfunkanbieter.

Heute veröffentlichte Tim Bray eine weitere Neuerung im offiziellen Android Entwickler Blog: Android Entwickler sollen die Möglichkeit erhalten ihre Apps vor illegalen Kopien zu schützen, ein von Entwicklern bisher immer wieder erwähntes Manko.

Apps können auf Androidgeräten als APK Paket eingespielt werden, ohne Prüfung ob die App rechtmässig erworben wurde. In Zukunft sollen Entwickler die Möglichkeit haben eine Abfrage in ihre Anwendungen einzubauen, die Verbindung mit Googles Lizenzserver aufnimmt und den verknüpften Google Account prüft. Diese Verbindung soll eine zuverlässige Methode bieten zu erkennen ob eine Anwendung vom genutzen Account rechtmässig erworben wurde, andernfalls wird die Ausführung unterbunden.

Die Überprüfung einer Lizenz mittels Server soll in Zukunft die bisherige Kopierschutzfunktion für Bezahlanwendungen im Android Market ersetzen. Entsprechende Entwicklungsbibliotheken stehen für alle Androidversionen ab 1.5 zur Verfügung und können von den Entwicklern ab sofort genutzt werden.

Anwendungsentwickler werden sich freuen, bietet die Methode offensichtlich eine zuverlässige Art der Lizenzprüfung und Verteilung von APKs, im Sinne der illegalen Nutzung, sollte damit überholt sein. Eines der Hauptargumente, die grosse Entwicklungsschmieden gegen den Android Market immer wieder vorbringen, ist damit entkräftigt.

UPDATE: Kurz nach Veröffentlichung dieses Beitrages hat Tim Bray einen neuen Blogartikel online gestellt in dem weitere Informationen zum Lizenzserver Vorgehen erklärt werden, unter anderem dass man im Offlinefall den letzten Status aus dem Cache auslesen kann, das Androidgerät also nicht permanent online sein muss um Anwendungen zu nutzen.

Tags: Android, android market, APK, entwicklung, Kopierschutz, Lizenz, sicherheit

Dieser Artikel wurde von verfasst 

Blogger, Hobby Fotograf, Early Adopter, Technikmessi, beruflich als IT-Security Consultant unterwegs, sowie seit vielen Jahren Linux Nutzer.

  • cinereous

    Dass der Anwender dabei dann gezwungen wird, das Gerät tatsächlich Daueronline zu haben, damit google seine Lizenzdinger durchziehen kann, und somit auch dem Dev vorgeschrieben wird, was er wie zu nutzen hat, ist dabei aber nicht bedacht, denke ich?

  • http://www.nodch.de nodch

    Ich hab mir die Libraries noch nicht angeschaut und kann nicht sagen ob dieser Check jedes Mal läuft oder nur einmalig. Kein Entwickler wird jedoch gezwungen diese Methode zu nutzen, wobei sicherlich viele den Weg gehen werden, bietet er einen guten Schutz vor illegal verteilter Bezahlsoftware. Die kostenlosen Apps trifft es ohnehin nicht, da nur Entwickler von Verkaufssoftware daran interessiert sein dürften einen Kopierschutz umzusetzen.

  • cinereous

    Ich denke, selbst als Autor einer kostnelosen App würde ich diesne Teil mit programmieren, und simpel in irgendwelchen Settings deaktivieren, um grossartige Codeänderungen bei einer Linzenzänderung zu vermeiden.

    Logisch, dass man (vorerst) nicht gezwungen wird, das zu machen, ich denke aber, dass es irgendwann folgen wird, zumindest, wenn der Market endlich mit den üblichen Bezahlmethoden zusammenarbeitet und jeder in der Lage ist, im Market etwas zu erstehen.

    Schlecht an einer zentralen Verwaltung sehe ich, dass ein Hacker/Cracker/whatever-acker nur einmal das System aushebeln muss mit z.B. einem Proxy oder ähnlichen Dingen, und schon wäre die Software (bei einmaligem Check) “legal”, und dasd für quasi jede paid app.

    Ich denke, da fehlt noch ein wenig an der Umsetzung, aber ein Beginn ist es alle male.

  • http://www.nodch.de nodch

    Laut Blogeintrag synchronisiert der Lizenzserver die Marketkäufe auf Appebene, also jeden einzelnen Kauf und gleicht diesen mit den anfragenden Googlekonten ab. Ist also eine App nicht im Market gekauft worden und hat dort keine “Lizenz” hinterlegt, dann wird sie vom Server nicht freigegeben, somit fällt die Aushebelung mittels Proxy schon flach, was positiv zu sehen ist.

  • cinereous

    Ich hab mir das mal ein wenig angeschaut. Dem Autor steht es frei, wie oft auch immer diese Daten abzufragen, sofern aber der Lizenzserver nicht erreichbar ist, wird auf einen Cache zurückgegriffen.
    Durch diese Art und weise fallen mir einige Arten ein, so etwas zu umgehen. Die eine wäre ein Proxy, und die Daten sind dann ja gecached, die nächste ist den Cache zu manipulieren oder direkt die Klassen und Methoden zu überladen und Fremdcode einzuschleusen, etc. Weitere Details werd ich mal nicht offen besprechen, denn ich will Niemanden auf eine Idee bringen, der ich selber abgeneigt bin ^^.

    So oder so aber wäre der Market mit mehr KaufApps versehen, die auch genutzt werden würden im ausreichenden Maße, wäre der Kauf nicht nur über Kreditkarte möglich.

  • http://www.softxperience.mobi Marcus

    Also der Schutz scheint schon recht gut zu sein. Und da die Antwort vom Server per Public/Private Key gesichert ist, dürfte da auch nicht sooo große Chance sein, etwas zu manipulieren / zu cachen.

    Soweit ich gesehen habe, ist in der Antwort vom Server auch eine “Time to live” oder sowas drin, d.h. dass man z.B. nach den 24 Stunden nochmal prüfen sollte (damit der User nicht kauft, Prüfung macht und dann wieder refunded), dürfte klar sein.

    Da die Phones eigentlich eh immer online sind, ist die online Prüfung wohl auch nicht das Problem. Höchtens wenn ich z.B. im Ausland im Urlaub bin und Datenroaming abgeschaltet habe. Sonst wüßte ich nicht, warum ich länger als ein paar Stunden ohne Netz/Daten sein sollte (was mein Phone dann auch irgendwie nutzlos werden lassen würde).

    Schlimmer finde ich halt nur, dass man damit erstmal wieder die ehrlichen Kunden gängelt. Die Raubkopierer werden wahrscheinlich trotzdem andere Lösungen finden (und sei es dekompilieren und Schutz raus nehmen). Aber es macht die Sache eben doch wieder deutlich schwieriger, was viele Gelegenheitskopierer abhalten könnte.

    Und das Problem, die ehrlichen Kunden zu bestrafen und den Rest damit nicht zu erwischen hat man ja irgendwie immer bei Kopierschützen…

    Ich weiß z.B. dass es kein Problem ist, meine Paid-Apps illegal im Netz zu finden.

    Das andere Problem ist natürlich, dass dieser Schutz nur für die im Market gekauften Apps zieht. Ich verkaufe z.B. auch einen netten Anteil über andere Wege (slideme, eigene Webseite), an die Leute mit Phones ohne Market, ohne Paid-Apps in ihrem Land oder anderen Problemen.

Previous post:

Next post:

(c) 2004-2011 nodch.de
Server sponsored by www.ssl-certs.de