12 réponses à ce sujet

[2beta]

Sur XDA plusieurs personnes se sont fait voler leurs applications, et pas le code source juste l'apk, que le voleur a resigné avec son compte et a mis en vente.
Donc avec le même nom et le même logo que la version officielle.

Par contre ils expliquent que c'est facile de limiter le problème, c'est de mettre directement l'application sur le market, même en mode "draft", donc non visible par les utilisateurs. Comme ça le nom de l'application est réservé et comme il n'est pas possible d'avoir 2 même noms, c'est bon. Et ensuite mettre à dispo l'apk ici pour les tests et retour de bugs.
A bon entendeur...

Source : http://forum.xda-dev...ad.php?t=900923

Edit : Je sais que ce n'est pas un projet mais je pense que c'est quand même la meilleure section pour ce post.

[Burn2]

Merci pour l'info, je pense que ça devrait même être épinglé...

[jokamax]

Merci pour l'information.
Je vais donc m'inscrire sur le market plus tôt que prévue ^^

Edit :

Une question :
Comment met on en mode draft ?
Juste en déposant et en sauvant sans publier ? (je vois 3 bouton : Publish/Save/Delete)

Merci d'avance

[majdus]

je pense que c ça oui
j'ai déjà fais ça pour une de mes appli et je crois me souvenir que j'ai eu la mention "brouillon" après le save!

[Jorodan]

J'épingle et change le titre pour le rendre plus attractif et je fais un billet sur le blog !

[moritan]

Une chose est sur, il faut toujours signer les apk que l'on mets à disposition.
Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape
.

Modifié par moritan, 12 January 2011 - 12:12.

[zeroot]

sans vouloir jouer les rabat-joies, signer ne protege pas. Il n'y a que la publication sur le market qui le permet et encore(voir plus bas)...

Pour rappel, si on souhaite "de-signer" une appli, il suffit de supprimer le repertoire META-INF de l'apk.
2eme rappel, il est possible de decompiler un apk (d'ou l'interet de l'obfuscation via proguard), puis de le recompiler. Si l'obfuscation permet de proteger son code contre le bricolage, ca n'empechera un gars mal intentionné de changer le nom de package et de rebalancer ca sur le market à son nom...

 moritan, le 12 January 2011 - 11:58, dit :

Une chose est sur, il faut toujours signer les apk que l'on mets à disposition.
Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape
.

[moritan]

Je n'ai pas dit que c'était LA solution mais si un petit malin la publie tel quel sans même faire l'effort de la resigner au moins ça offre une preuve de votre bonne fois.

[Baton]

Terrible fléau...

[Arialia]

Effectivement c'est pénible ...
Petite solution ?
comparer le nom de l'application avec une valeur en dur (cryptée simplement si possible ... ) dans le programme ? Avec un joli message à l'utilisateur indiquant la contrefaçon puis arrêt de l'application ...
Bien sûr il faut protéger le code de la décompilation ...

[champignac]

 moritan, le 12 January 2011 - 11:58, dit :

Une chose est sur, il faut toujours signer les apk que l'on mets à disposition.
Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape
.

C'est surtout qu'un apk non signé ne sera pas installable sur un terminal Android.

Changer la signature n'est pas non plus une solution. Un apk qui est installé et qui contient une signature X, si on décide d'installer la mise à jour de l'application qui contient une signature différente, l'installation de la mise à jour échouera. Il faudra alors à l'utilisateur qu'il désinstalle l'application déjà installée (perdant du coup toute sa config) et qu'il installe la mise à jour.

 zeroot, le 13 January 2011 - 17:12, dit :

sans vouloir jouer les rabat-joies, signer ne protege pas. Il n'y a que la publication sur le market qui le permet et encore(voir plus bas)...

Pour rappel, si on souhaite "de-signer" une appli, il suffit de supprimer le repertoire META-INF de l'apk.
2eme rappel, il est possible de decompiler un apk (d'ou l'interet de l'obfuscation via proguard), puis de le recompiler. Si l'obfuscation permet de proteger son code contre le bricolage, ca n'empechera un gars mal intentionné de changer le nom de package et de rebalancer ca sur le market à son nom...

Signer une application protège contre les falsifications. Comme je l'ai dit plus haut. Une application signé B ne pourra pas s'installer par dessus une application signée A.


Il ne faut pas supprimer le fichier META-INF mais plutôt les deux des trois fichiers que ce dossier contient. Comme je l'ai dit plus haut. Ne pas signer son apk est useless. A moins que lors de l'envoie vers le market, ce dernier la signe avant de la diffuser. Pour les étourdis

Proguard ne protège en RIEN une application. Il ne fait que renommer le nom des fonctions. Le code dalvik est encore visible en clair. Il est encore plus visible et compréhensible avec dex2jar puisque là, on obtient non plus du code dalvik mais carrément du code Java. Je sais, ça fout les boules

 Arialia, le 09 April 2011 - 08:30, dit :

Effectivement c'est pénible ...
Petite solution ?
comparer le nom de l'application avec une valeur en dur (cryptée simplement si possible ... ) dans le programme ? Avec un joli message à l'utilisateur indiquant la contrefaçon puis arrêt de l'application ...
Bien sûr il faut protéger le code de la décompilation ...

Bon déjà on dit "chiffrer" et pas "crypter" (cf wikipedia: http://fr.wikipedia....iki/Chiffrement ). Cette solution retardera un peu la personne malintentionnée. Comme je l'ai déjà dit au dessus, il ne faut pas oublier que cette personne aura le code dalvik ou pire Java sous les yeux. Quand il verra toutes les chaines en clair et qu'une seule est chiffrée, elle risque de lui sauter aux yeux.


De plus, lui mettre un message d'alerte est la dernière chose à faire. C'est lui indiquer où est le contrôle sur le nom de l'applicatiion.

Protéger le code de la décompilation. Pourquoi pas mais à l'heure actuelle et de par le fonctionnement du système Android ce n'est pas possible. A moins d'ajouter une surcouche sur le bytecode dalvik. Une machine virtuelle qui interprètera de nouveau opcodes... Mais dans ce cas, des taré vont vite se pencher sur cette protection et dé-virtualiser la machine virtuelle du protecteur. On en reviendra au meme point. En plus cette solution va ralentir deux fois (voir trois ou plus) la rapidité d'exécution des applications ainsi protégées.




Mais sinon, pour en revenir au sujet du topic, effectivement c'est franchement malsain de piquer le travail d'un autre et d'en faire du profit. Je crois que dans ce cas là, il faut se retourner contre Google pour qu'ils sécurise leur bordel parce que le market, c'est quand même un gros bordel

[MiniRimini]

Pour ceux qui utilisent Music Box Pro (ou l'ont téléchargé sur Google, suite à son indisponibilité sur le Market), il demande l'autorisation d'accéder au GPS, celui-ci s'active lors du lancement de l'appli, d'une recherche, voir même d'un téléchargement.
Si vous avez une ROM capable de gérer les permissions, désactivez celles de la Localisation GPS. Je l'ai fait et l'application fonctionne parfaitement sans cette permission.

[patty945]

Merci pour l'info