2beta

Attention au vol d'application et au cyber-squatting

Recommended Posts

Sur XDA plusieurs personnes se sont fait voler leurs applications (avant mise à disposition sur la play store), et pas le code source juste l'apk, que le voleur a resigné avec son compte et a mis en vente sur le play store avant l'auteur.

Donc avec le même nom et le même logo que la version officielle.

Par contre ils expliquent que c'est facile de limiter le problème, c'est de mettre directement l'application sur le market, même en mode "draft", donc non visible par les utilisateurs. Comme ça le nom de l'application est réservé et comme il n'est pas possible d'avoir 2 même noms, c'est bon. Et seulement ensuite mettre à disposition l'apk ici (ou ailleurs) pour les tests et retour de bugs.

A bon entendeur...

Source : http://forum.xda-dev...ad.php?t=900923

Edit : Je sais que ce n'est pas un projet mais je pense que c'est quand même la meilleure section pour ce post.

Modifié par 2beta
  • Like 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci pour l'information.

Je vais donc m'inscrire sur le market plus tôt que prévue ^^

Edit :

Une question :

Comment met on en mode draft ?

Juste en déposant et en sauvant sans publier ? (je vois 3 bouton : Publish/Save/Delete)

Merci d'avance

Partager ce message


Lien à poster
Partager sur d’autres sites

je pense que c ça oui

j'ai déjà fais ça pour une de mes appli et je crois me souvenir que j'ai eu la mention "brouillon" après le save!

Partager ce message


Lien à poster
Partager sur d’autres sites

J'épingle et change le titre pour le rendre plus attractif et je fais un billet sur le blog !

Partager ce message


Lien à poster
Partager sur d’autres sites

Une chose est sur, il faut toujours signer les apk que l'on mets à disposition.

Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape

.

Modifié par moritan

Partager ce message


Lien à poster
Partager sur d’autres sites

sans vouloir jouer les rabat-joies, signer ne protege pas. Il n'y a que la publication sur le market qui le permet et encore(voir plus bas)...

Pour rappel, si on souhaite "de-signer" une appli, il suffit de supprimer le repertoire META-INF de l'apk.

2eme rappel, il est possible de decompiler un apk (d'ou l'interet de l'obfuscation via proguard), puis de le recompiler. Si l'obfuscation permet de proteger son code contre le bricolage, ca n'empechera un gars mal intentionné de changer le nom de package et de rebalancer ca sur le market à son nom...

Une chose est sur, il faut toujours signer les apk que l'on mets à disposition.

Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape

.

Partager ce message


Lien à poster
Partager sur d’autres sites

Je n'ai pas dit que c'était LA solution mais si un petit malin la publie tel quel sans même faire l'effort de la resigner au moins ça offre une preuve de votre bonne fois.

Partager ce message


Lien à poster
Partager sur d’autres sites

Effectivement c'est pénible ...

Petite solution ?

comparer le nom de l'application avec une valeur en dur (cryptée simplement si possible ... ) dans le programme ? Avec un joli message à l'utilisateur indiquant la contrefaçon puis arrêt de l'application ...

Bien sûr il faut protéger le code de la décompilation ...

Partager ce message


Lien à poster
Partager sur d’autres sites

Une chose est sur, il faut toujours signer les apk que l'on mets à disposition.

Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape

.

C'est surtout qu'un apk non signé ne sera pas installable sur un terminal Android.

Changer la signature n'est pas non plus une solution. Un apk qui est installé et qui contient une signature X, si on décide d'installer la mise à jour de l'application qui contient une signature différente, l'installation de la mise à jour échouera. Il faudra alors à l'utilisateur qu'il désinstalle l'application déjà installée (perdant du coup toute sa config) et qu'il installe la mise à jour.

sans vouloir jouer les rabat-joies, signer ne protege pas. Il n'y a que la publication sur le market qui le permet et encore(voir plus bas)...

Pour rappel, si on souhaite "de-signer" une appli, il suffit de supprimer le repertoire META-INF de l'apk.

2eme rappel, il est possible de decompiler un apk (d'ou l'interet de l'obfuscation via proguard), puis de le recompiler. Si l'obfuscation permet de proteger son code contre le bricolage, ca n'empechera un gars mal intentionné de changer le nom de package et de rebalancer ca sur le market à son nom...

Signer une application protège contre les falsifications. Comme je l'ai dit plus haut. Une application signé B ne pourra pas s'installer par dessus une application signée A.

Il ne faut pas supprimer le fichier META-INF mais plutôt les deux des trois fichiers que ce dossier contient. Comme je l'ai dit plus haut. Ne pas signer son apk est useless. A moins que lors de l'envoie vers le market, ce dernier la signe avant de la diffuser. Pour les étourdis :)

Proguard ne protège en RIEN une application. Il ne fait que renommer le nom des fonctions. Le code dalvik est encore visible en clair. Il est encore plus visible et compréhensible avec dex2jar puisque là, on obtient non plus du code dalvik mais carrément du code Java. Je sais, ça fout les boules :)

Effectivement c'est pénible ...

Petite solution ?

comparer le nom de l'application avec une valeur en dur (cryptée simplement si possible ... ) dans le programme ? Avec un joli message à l'utilisateur indiquant la contrefaçon puis arrêt de l'application ...

Bien sûr il faut protéger le code de la décompilation ...

Bon déjà on dit "chiffrer" et pas "crypter" (cf wikipedia: http://fr.wikipedia.org/wiki/Chiffrement ). Cette solution retardera un peu la personne malintentionnée. Comme je l'ai déjà dit au dessus, il ne faut pas oublier que cette personne aura le code dalvik ou pire Java sous les yeux. Quand il verra toutes les chaines en clair et qu'une seule est chiffrée, elle risque de lui sauter aux yeux.

De plus, lui mettre un message d'alerte est la dernière chose à faire. C'est lui indiquer où est le contrôle sur le nom de l'applicatiion.

Protéger le code de la décompilation. Pourquoi pas mais à l'heure actuelle et de par le fonctionnement du système Android ce n'est pas possible. A moins d'ajouter une surcouche sur le bytecode dalvik. Une machine virtuelle qui interprètera de nouveau opcodes... Mais dans ce cas, des taré vont vite se pencher sur cette protection et dé-virtualiser la machine virtuelle du protecteur. On en reviendra au meme point. En plus cette solution va ralentir deux fois (voir trois ou plus) la rapidité d'exécution des applications ainsi protégées.

Mais sinon, pour en revenir au sujet du topic, effectivement c'est franchement malsain de piquer le travail d'un autre et d'en faire du profit. Je crois que dans ce cas là, il faut se retourner contre Google pour qu'ils sécurise leur bordel parce que le market, c'est quand même un gros bordel :)

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour ceux qui utilisent Music Box Pro (ou l'ont téléchargé sur Google, suite à son indisponibilité sur le Market), il demande l'autorisation d'accéder au GPS, celui-ci s'active lors du lancement de l'appli, d'une recherche, voir même d'un téléchargement.

Si vous avez une ROM capable de gérer les permissions, désactivez celles de la Localisation GPS. Je l'ai fait et l'application fonctionne parfaitement sans cette permission.

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci de ce sticky!

Je completerai en ajoutant qu'il ne faut pas hésiter à utiliser le système de licensing (LVL) avec proguard pour limiter "les dégâts", et cela autant pour les applications payantes que gratuites. Oui, il faut plus de temps pour implémenter correctement cette protection triviale que pour la casser, néanmoins c'est toujours mieux que rien. Il y a bien sûr d'autres moyens d'élever les murs (comme utiliser son propre serveur pour certains contrôles)

J'insiste sur le fait que même les applis gratuites avec pub sont concernées, car certains vecteurs d'attaques consistent à remplacer votre publisher ID par celui d'un autre.

Partager ce message


Lien à poster
Partager sur d’autres sites

Voila un post qui vient de m'éviter de faire une connerie !! ( A un jour près :ph34r: )

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai été contacté par un "Gus" dernièrement, me proposant de m'acheter des "actions" sur une application.

Ça m'avais pas l'air très clair son histoire, ce serait pas une arnaque par hasard ?

Pour couronner le tout le mec se fait appeler "Le créateur play store"

Modifié par Percuss

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 14 heures, claire006 a dit :

Bonjour,

En effet c'est bien ça! Et si je comprends bien vous avez donc une copie de ce que vous avez fait avec votre application?

j'aimerais bien en savoir plus si c'est possible.

Répondre à un post de 2011, et demander des infos à une personne qui ne s'est plus connectée depuis mars 2016 .... je crois qu'il va falloir patienter longtemps.

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant