Aller au contenu

Attention au vol d'application et au cyber-squatting

2beta

Par 2beta
dans La sécurité et Android

 Share

Recommended Posts

2beta Veteran

2beta

Posté(e)
Posté(e) (modifié)

Sur XDA plusieurs personnes se sont fait voler leurs applications (avant mise à disposition sur la play store), et pas le code source juste l'apk, que le voleur a resigné avec son compte et a mis en vente sur le play store avant l'auteur.

Donc avec le même nom et le même logo que la version officielle.

Par contre ils expliquent que c'est facile de limiter le problème, c'est de mettre directement l'application sur le market, même en mode "draft", donc non visible par les utilisateurs. Comme ça le nom de l'application est réservé et comme il n'est pas possible d'avoir 2 même noms, c'est bon. Et seulement ensuite mettre à disposition l'apk ici (ou ailleurs) pour les tests et retour de bugs.

A bon entendeur...

Source : http://forum.xda-dev...ad.php?t=900923

Edit : Je sais que ce n'est pas un projet mais je pense que c'est quand même la meilleure section pour ce post.

Modifié par 2beta
  • Like 1
Lien vers le commentaire
Partager sur d’autres sites
moritan Experienced

moritan

Posté(e)
Posté(e) (modifié)

Une chose est sur, il faut toujours signer les apk que l'on mets à disposition.

Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape

.

Modifié par moritan
Lien vers le commentaire
Partager sur d’autres sites
zeroot Contributor

zeroot

Posté(e)
Posté(e)

sans vouloir jouer les rabat-joies, signer ne protege pas. Il n'y a que la publication sur le market qui le permet et encore(voir plus bas)...

Pour rappel, si on souhaite "de-signer" une appli, il suffit de supprimer le repertoire META-INF de l'apk.

2eme rappel, il est possible de decompiler un apk (d'ou l'interet de l'obfuscation via proguard), puis de le recompiler. Si l'obfuscation permet de proteger son code contre le bricolage, ca n'empechera un gars mal intentionné de changer le nom de package et de rebalancer ca sur le market à son nom...

Une chose est sur, il faut toujours signer les apk que l'on mets à disposition.

Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape

.

Lien vers le commentaire
Partager sur d’autres sites
  • 2 months later...
Arialia Explorer

Arialia

Posté(e)
Posté(e)

Effectivement c'est pénible ...

Petite solution ?

comparer le nom de l'application avec une valeur en dur (cryptée simplement si possible ... ) dans le programme ? Avec un joli message à l'utilisateur indiquant la contrefaçon puis arrêt de l'application ...

Bien sûr il faut protéger le code de la décompilation ...

Lien vers le commentaire
Partager sur d’autres sites
  • 4 months later...
champignac Collaborator

champignac

Posté(e)
Posté(e)

Une chose est sur, il faut toujours signer les apk que l'on mets à disposition.

Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape

.

C'est surtout qu'un apk non signé ne sera pas installable sur un terminal Android.

Changer la signature n'est pas non plus une solution. Un apk qui est installé et qui contient une signature X, si on décide d'installer la mise à jour de l'application qui contient une signature différente, l'installation de la mise à jour échouera. Il faudra alors à l'utilisateur qu'il désinstalle l'application déjà installée (perdant du coup toute sa config) et qu'il installe la mise à jour.

sans vouloir jouer les rabat-joies, signer ne protege pas. Il n'y a que la publication sur le market qui le permet et encore(voir plus bas)...

Pour rappel, si on souhaite "de-signer" une appli, il suffit de supprimer le repertoire META-INF de l'apk.

2eme rappel, il est possible de decompiler un apk (d'ou l'interet de l'obfuscation via proguard), puis de le recompiler. Si l'obfuscation permet de proteger son code contre le bricolage, ca n'empechera un gars mal intentionné de changer le nom de package et de rebalancer ca sur le market à son nom...

Signer une application protège contre les falsifications. Comme je l'ai dit plus haut. Une application signé B ne pourra pas s'installer par dessus une application signée A.

Il ne faut pas supprimer le fichier META-INF mais plutôt les deux des trois fichiers que ce dossier contient. Comme je l'ai dit plus haut. Ne pas signer son apk est useless. A moins que lors de l'envoie vers le market, ce dernier la signe avant de la diffuser. Pour les étourdis :)

Proguard ne protège en RIEN une application. Il ne fait que renommer le nom des fonctions. Le code dalvik est encore visible en clair. Il est encore plus visible et compréhensible avec dex2jar puisque là, on obtient non plus du code dalvik mais carrément du code Java. Je sais, ça fout les boules :)

Effectivement c'est pénible ...

Petite solution ?

comparer le nom de l'application avec une valeur en dur (cryptée simplement si possible ... ) dans le programme ? Avec un joli message à l'utilisateur indiquant la contrefaçon puis arrêt de l'application ...

Bien sûr il faut protéger le code de la décompilation ...

Bon déjà on dit "chiffrer" et pas "crypter" (cf wikipedia: http://fr.wikipedia.org/wiki/Chiffrement ). Cette solution retardera un peu la personne malintentionnée. Comme je l'ai déjà dit au dessus, il ne faut pas oublier que cette personne aura le code dalvik ou pire Java sous les yeux. Quand il verra toutes les chaines en clair et qu'une seule est chiffrée, elle risque de lui sauter aux yeux.

De plus, lui mettre un message d'alerte est la dernière chose à faire. C'est lui indiquer où est le contrôle sur le nom de l'applicatiion.

Protéger le code de la décompilation. Pourquoi pas mais à l'heure actuelle et de par le fonctionnement du système Android ce n'est pas possible. A moins d'ajouter une surcouche sur le bytecode dalvik. Une machine virtuelle qui interprètera de nouveau opcodes... Mais dans ce cas, des taré vont vite se pencher sur cette protection et dé-virtualiser la machine virtuelle du protecteur. On en reviendra au meme point. En plus cette solution va ralentir deux fois (voir trois ou plus) la rapidité d'exécution des applications ainsi protégées.

Mais sinon, pour en revenir au sujet du topic, effectivement c'est franchement malsain de piquer le travail d'un autre et d'en faire du profit. Je crois que dans ce cas là, il faut se retourner contre Google pour qu'ils sécurise leur bordel parce que le market, c'est quand même un gros bordel :)

Lien vers le commentaire
Partager sur d’autres sites
  • 2 months later...
MiniRimini Enthusiast

MiniRimini

Posté(e)
Posté(e)

Pour ceux qui utilisent Music Box Pro (ou l'ont téléchargé sur Google, suite à son indisponibilité sur le Market), il demande l'autorisation d'accéder au GPS, celui-ci s'active lors du lancement de l'appli, d'une recherche, voir même d'un téléchargement.

Si vous avez une ROM capable de gérer les permissions, désactivez celles de la Localisation GPS. Je l'ai fait et l'application fonctionne parfaitement sans cette permission.

Lien vers le commentaire
Partager sur d’autres sites
  • 1 month later...
  • 7 months later...
  • 3 months later...
Aladin Q Apprentice

Aladin Q

Posté(e)
Posté(e)

Merci de ce sticky!

Je completerai en ajoutant qu'il ne faut pas hésiter à utiliser le système de licensing (LVL) avec proguard pour limiter "les dégâts", et cela autant pour les applications payantes que gratuites. Oui, il faut plus de temps pour implémenter correctement cette protection triviale que pour la casser, néanmoins c'est toujours mieux que rien. Il y a bien sûr d'autres moyens d'élever les murs (comme utiliser son propre serveur pour certains contrôles)

J'insiste sur le fait que même les applis gratuites avec pub sont concernées, car certains vecteurs d'attaques consistent à remplacer votre publisher ID par celui d'un autre.

Lien vers le commentaire
Partager sur d’autres sites
  • 2 months later...
  • 1 month later...
Percuss Rising Star

Percuss

Posté(e)
Posté(e) (modifié)

J'ai été contacté par un "Gus" dernièrement, me proposant de m'acheter des "actions" sur une application.

Ça m'avais pas l'air très clair son histoire, ce serait pas une arnaque par hasard ?

Pour couronner le tout le mec se fait appeler "Le créateur play store"

Modifié par Percuss
Lien vers le commentaire
Partager sur d’autres sites
  • 3 years later...
Thouraeg Proficient

Thouraeg

Posté(e)
Posté(e)
Il y a 14 heures, claire006 a dit :

Bonjour,

En effet c'est bien ça! Et si je comprends bien vous avez donc une copie de ce que vous avez fait avec votre application?

j'aimerais bien en savoir plus si c'est possible.

Répondre à un post de 2011, et demander des infos à une personne qui ne s'est plus connectée depuis mars 2016 .... je crois qu'il va falloir patienter longtemps.

Lien vers le commentaire
Partager sur d’autres sites
  • 1 year later...

Rejoignez la conversation

Vous pouvez poster maintenant et vous enregistrez plus tard. Si vous avez un compte, connectez-vous maintenant pour poster.

Invité
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Share
Aller sur la liste des sujets
×
×
  • Créer...