T.S.2010-08-251min0

Google Android應用審查機制瓦解 恐盜版猖獗

Google建議,開發人員應該在其編碼中加入混淆視聽的處理,同時也試圖說明Android Market Licensing參考執行機制為何遭到破解。

Google建議,開發人員應該在其編碼中加入混淆視聽的處理,同時也試圖說明Android Market Licensing參考執行機制為何遭到破解。

不到一個月之前,Google才剛發表了Android Market授權機制,用戶要在Android Market安裝軟體或更新時,都必須要連上官方伺服器來確認該軟體是否為合法取得。

Google發表這項服務,旨在協助Android開發人員阻止長期以來一直存在Android開發者社群心中的痛處不斷發生,也就是希望藉此消滅侵權行為。

以開發Mac OS X與iPhone聞名的Jeff LaMarche,在7月時便已預測Google的防盜拷機制很容易遭到破解,如今看來果真一語成讖。自稱為Justin Case的安全研究人員已在Android Police Web網站上貼文說明,如何繞過審核權限的Android License Verification Library(LVL)程式庫。

Case寫到,他們的發現顯示大多數(或者其實是全部?)應用都很容易被破解或突破授權保護,成為不照遊戲規則走的使用者或盜版軟體業者的目標。由此推論,這也意味著某些網站可以繼續透過這種方式進行盜版,只要有點小聰明,混雜使用一些自動化的腳本就行了。

Case展示如何以名為「smali/baksmali」的封包組合/拆解程式纂改Android LVL檔案來取得授權。

Case總結表示,目前的情況是,盜版行為在開發者社群中十分猖獗,而隨著開發平台成長,情況只會更為嚴重。

Google開發人員文件清楚提到,Android授權系統機制並不完美。

Google Android開發人員指南提到,儘管沒有任何一個授權機制可以徹底阻絕未經授權使用的行為,但透過授權服務,對於一般使用狀況,還是能夠讓使用者得以控制多數存取行為,無論使用的是那種相容裝置,都可以封鎖或取消封鎖執行Android 1.5或更新版本之平台。

Android開發人員擁護者Tim Bray也在部落格中引用Case的文章,重申此一觀點。

Tim Bray寫到,Android Market已經採取負責、減少摩擦、安全的做法,讓開發人員的產品可以供使用者採用。授權伺服器讓這個過程得以較為安全,並將持續進行改善。目前也已嘗試各種做法,協助開發人員對抗盜版,且將更進一步朝此努力。

Google發言人在聲明中解釋,Android授權方案所採取的額外安全防護已經是做得最好的了。

Google發言人透過電子郵件指出,LVL程式庫是其防盜拷機制的一部分。LVL提供來源碼參考執行,乃是一套由開發人員共同參與完成的淺顯易懂之設計。為了加強保護應用程式都能經由合法途徑取得使用,開發人員可以在其中加入額外的元件,像是混淆應用碼或改變參考資訊。

然而,Google開發人員文件也清楚揭示,或許由於任何一種防盜拷系統最終都難逃遭破解的命運,Android的授權系統其實並不是一套防盜拷系統。

在相關開發人員文件中還提到,授權服務可以在網路上即時執行運作,可以更有彈性地選擇強化授權策略的方法,也可以更安全地保護使用者所開發出之應用不致在未取得授權的情況下遭到盜用。

Google看來是希望開發人員可以採用其工具,嘗試把未授權拷貝的項目轉為合法取得授權之項目,而非再試圖捍衛這個已無可抗辯的現實。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416