T.S.
Google 建議,開發人員應該在其編碼中加入混淆視聽的處理,同時也試圖說明 Android Market Licensing 參考執行機制為何遭到破解。
不到一個月之前,Google 才剛發表了 Android Market 授權機制,用戶要在 Android Market 安裝軟體或更新時,都必須要連上官方伺服器來確認該軟體是否為合法取得。
Google 發表這項服務,旨在協助 Android 開發人員阻止長期以來一直存在 Android 開發者社群心中的痛處不斷發生,也就是希望藉此消滅侵權行為。
以開發 Mac OS X 與 iPhone 聞名的 Jeff LaMarche,在 7 月時便已預測 Google 的防盜拷機制很容易遭到破解,如今看來果真一語成讖。自稱為 Justin Case 的安全研究人員已在 Android Police Web 網站上貼文說明,如何繞過審核權限的 Android License Verification Library(LVL) 程式庫。
Case 寫到,他們的發現顯示大多數(或者其實是全部?)應用都很容易被破解或突破授權保護,成為不照遊戲規則走的使用者或盜版軟體業者的目標。由此推論,這也意味著某些網站可以繼續透過這種方式進行盜版,只要有點小聰明,混雜使用一些自動化的腳本就行了。
Case 展示如何以名為「smali/baksmali」的封包組合/拆解程式纂改 Android LVL 檔案來取得授權。
Case 總結表示,目前的情況是,盜版行為在開發者社群中十分猖獗,而隨著開發平台成長,情況只會更為嚴重。
Google 開發人員文件清楚提到,Android 授權系統機制並不完美。
Google Android 開發人員指南提到,儘管沒有任何一個授權機制可以徹底阻絕未經授權使用的行為,但透過授權服務,對於一般使用狀況,還是能夠讓使用者得以控制多數存取行為,無論使用的是那種相容裝置,都可以封鎖或取消封鎖執行 Android 1.5 或更新版本之平台。
Android 開發人員擁護者 Tim Bray 也在部落格中引用 Case 的文章,重申此一觀點。
Tim Bray 寫到,Android Market 已經採取負責、減少摩擦、安全的做法,讓開發人員的產品可以供使用者採用。授權伺服器讓這個過程得以較為安全,並將持續進行改善。目前也已嘗試各種做法,協助開發人員對抗盜版,且將更進一步朝此努力。
Google 發言人在聲明中解釋,Android 授權方案所採取的額外安全防護已經是做得最好的了。
Google 發言人透過電子郵件指出,LVL 程式庫是其防盜拷機制的一部分。 LVL 提供來源碼參考執行,乃是一套由開發人員共同參與完成的淺顯易懂之設計。為了加強保護應用程式都能經由合法途徑取得使用,開發人員可以在其中加入額外的元件,像是混淆應用碼或改變參考資訊。
然而,Google 開發人員文件也清楚揭示,或許由於任何一種防盜拷系統最終都難逃遭破解的命運,Android 的授權系統其實並不是一套防盜拷系統。
在相關開發人員文件中還提到,授權服務可以在網路上即時執行運作,可以更有彈性地選擇強化授權策略的方法,也可以更安全地保護使用者所開發出之應用不致在未取得授權的情況下遭到盜用。
Google 看來是希望開發人員可以採用其工具,嘗試把未授權拷貝的項目轉為合法取得授權之項目,而非再試圖捍衛這個已無可抗辯的現實。