2beta Posted January 11, 2011 Share Posted January 11, 2011 (edited) Sur XDA plusieurs personnes se sont fait voler leurs applications (avant mise à disposition sur la play store), et pas le code source juste l'apk, que le voleur a resigné avec son compte et a mis en vente sur le play store avant l'auteur. Donc avec le même nom et le même logo que la version officielle. Par contre ils expliquent que c'est facile de limiter le problème, c'est de mettre directement l'application sur le market, même en mode "draft", donc non visible par les utilisateurs. Comme ça le nom de l'application est réservé et comme il n'est pas possible d'avoir 2 même noms, c'est bon. Et seulement ensuite mettre à disposition l'apk ici (ou ailleurs) pour les tests et retour de bugs. A bon entendeur... Source : http://forum.xda-dev...ad.php?t=900923 Edit : Je sais que ce n'est pas un projet mais je pense que c'est quand même la meilleure section pour ce post. Edited July 16, 2012 by 2beta 1 Quote Link to comment Share on other sites More sharing options...
Burn2 Posted January 11, 2011 Share Posted January 11, 2011 Merci pour l'info, je pense que ça devrait même être épinglé... Quote Link to comment Share on other sites More sharing options...
jokamax Posted January 12, 2011 Share Posted January 12, 2011 Merci pour l'information. Je vais donc m'inscrire sur le market plus tôt que prévue ^^ Edit : Une question : Comment met on en mode draft ? Juste en déposant et en sauvant sans publier ? (je vois 3 bouton : Publish/Save/Delete) Merci d'avance Quote Link to comment Share on other sites More sharing options...
majdus Posted January 12, 2011 Share Posted January 12, 2011 je pense que c ça oui j'ai déjà fais ça pour une de mes appli et je crois me souvenir que j'ai eu la mention "brouillon" après le save! Quote Link to comment Share on other sites More sharing options...
Jorodan Posted January 12, 2011 Share Posted January 12, 2011 J'épingle et change le titre pour le rendre plus attractif et je fais un billet sur le blog ! Quote Link to comment Share on other sites More sharing options...
moritan Posted January 12, 2011 Share Posted January 12, 2011 (edited) Une chose est sur, il faut toujours signer les apk que l'on mets à disposition. Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape . Edited January 12, 2011 by moritan Quote Link to comment Share on other sites More sharing options...
zeroot Posted January 13, 2011 Share Posted January 13, 2011 sans vouloir jouer les rabat-joies, signer ne protege pas. Il n'y a que la publication sur le market qui le permet et encore(voir plus bas)... Pour rappel, si on souhaite "de-signer" une appli, il suffit de supprimer le repertoire META-INF de l'apk. 2eme rappel, il est possible de decompiler un apk (d'ou l'interet de l'obfuscation via proguard), puis de le recompiler. Si l'obfuscation permet de proteger son code contre le bricolage, ca n'empechera un gars mal intentionné de changer le nom de package et de rebalancer ca sur le market à son nom... Une chose est sur, il faut toujours signer les apk que l'on mets à disposition. Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape . Quote Link to comment Share on other sites More sharing options...
moritan Posted January 13, 2011 Share Posted January 13, 2011 Je n'ai pas dit que c'était LA solution mais si un petit malin la publie tel quel sans même faire l'effort de la resigner au moins ça offre une preuve de votre bonne fois. Quote Link to comment Share on other sites More sharing options...
Baton Posted January 18, 2011 Share Posted January 18, 2011 Terrible fléau... Quote Link to comment Share on other sites More sharing options...
Arialia Posted April 9, 2011 Share Posted April 9, 2011 Effectivement c'est pénible ... Petite solution ? comparer le nom de l'application avec une valeur en dur (cryptée simplement si possible ... ) dans le programme ? Avec un joli message à l'utilisateur indiquant la contrefaçon puis arrêt de l'application ... Bien sûr il faut protéger le code de la décompilation ... Quote Link to comment Share on other sites More sharing options...
champignac Posted August 16, 2011 Share Posted August 16, 2011 Une chose est sur, il faut toujours signer les apk que l'on mets à disposition. Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape . C'est surtout qu'un apk non signé ne sera pas installable sur un terminal Android.Changer la signature n'est pas non plus une solution. Un apk qui est installé et qui contient une signature X, si on décide d'installer la mise à jour de l'application qui contient une signature différente, l'installation de la mise à jour échouera. Il faudra alors à l'utilisateur qu'il désinstalle l'application déjà installée (perdant du coup toute sa config) et qu'il installe la mise à jour. sans vouloir jouer les rabat-joies, signer ne protege pas. Il n'y a que la publication sur le market qui le permet et encore(voir plus bas)... Pour rappel, si on souhaite "de-signer" une appli, il suffit de supprimer le repertoire META-INF de l'apk. 2eme rappel, il est possible de decompiler un apk (d'ou l'interet de l'obfuscation via proguard), puis de le recompiler. Si l'obfuscation permet de proteger son code contre le bricolage, ca n'empechera un gars mal intentionné de changer le nom de package et de rebalancer ca sur le market à son nom... Signer une application protège contre les falsifications. Comme je l'ai dit plus haut. Une application signé B ne pourra pas s'installer par dessus une application signée A. Il ne faut pas supprimer le fichier META-INF mais plutôt les deux des trois fichiers que ce dossier contient. Comme je l'ai dit plus haut. Ne pas signer son apk est useless. A moins que lors de l'envoie vers le market, ce dernier la signe avant de la diffuser. Pour les étourdis :) Proguard ne protège en RIEN une application. Il ne fait que renommer le nom des fonctions. Le code dalvik est encore visible en clair. Il est encore plus visible et compréhensible avec dex2jar puisque là, on obtient non plus du code dalvik mais carrément du code Java. Je sais, ça fout les boules :) Effectivement c'est pénible ... Petite solution ? comparer le nom de l'application avec une valeur en dur (cryptée simplement si possible ... ) dans le programme ? Avec un joli message à l'utilisateur indiquant la contrefaçon puis arrêt de l'application ... Bien sûr il faut protéger le code de la décompilation ... Bon déjà on dit "chiffrer" et pas "crypter" (cf wikipedia: http://fr.wikipedia.org/wiki/Chiffrement ). Cette solution retardera un peu la personne malintentionnée. Comme je l'ai déjà dit au dessus, il ne faut pas oublier que cette personne aura le code dalvik ou pire Java sous les yeux. Quand il verra toutes les chaines en clair et qu'une seule est chiffrée, elle risque de lui sauter aux yeux. De plus, lui mettre un message d'alerte est la dernière chose à faire. C'est lui indiquer où est le contrôle sur le nom de l'applicatiion. Protéger le code de la décompilation. Pourquoi pas mais à l'heure actuelle et de par le fonctionnement du système Android ce n'est pas possible. A moins d'ajouter une surcouche sur le bytecode dalvik. Une machine virtuelle qui interprètera de nouveau opcodes... Mais dans ce cas, des taré vont vite se pencher sur cette protection et dé-virtualiser la machine virtuelle du protecteur. On en reviendra au meme point. En plus cette solution va ralentir deux fois (voir trois ou plus) la rapidité d'exécution des applications ainsi protégées. Mais sinon, pour en revenir au sujet du topic, effectivement c'est franchement malsain de piquer le travail d'un autre et d'en faire du profit. Je crois que dans ce cas là, il faut se retourner contre Google pour qu'ils sécurise leur bordel parce que le market, c'est quand même un gros bordel :) Quote Link to comment Share on other sites More sharing options...
MiniRimini Posted November 1, 2011 Share Posted November 1, 2011 Pour ceux qui utilisent Music Box Pro (ou l'ont téléchargé sur Google, suite à son indisponibilité sur le Market), il demande l'autorisation d'accéder au GPS, celui-ci s'active lors du lancement de l'appli, d'une recherche, voir même d'un téléchargement. Si vous avez une ROM capable de gérer les permissions, désactivez celles de la Localisation GPS. Je l'ai fait et l'application fonctionne parfaitement sans cette permission. Quote Link to comment Share on other sites More sharing options...
patty945 Posted December 8, 2011 Share Posted December 8, 2011 Merci pour l'info :) Quote Link to comment Share on other sites More sharing options...
golook Posted July 16, 2012 Share Posted July 16, 2012 Merci pour l'info :) Quote Link to comment Share on other sites More sharing options...
Aladin Q Posted October 23, 2012 Share Posted October 23, 2012 Merci de ce sticky! Je completerai en ajoutant qu'il ne faut pas hésiter à utiliser le système de licensing (LVL) avec proguard pour limiter "les dégâts", et cela autant pour les applications payantes que gratuites. Oui, il faut plus de temps pour implémenter correctement cette protection triviale que pour la casser, néanmoins c'est toujours mieux que rien. Il y a bien sûr d'autres moyens d'élever les murs (comme utiliser son propre serveur pour certains contrôles) J'insiste sur le fait que même les applis gratuites avec pub sont concernées, car certains vecteurs d'attaques consistent à remplacer votre publisher ID par celui d'un autre. Quote Link to comment Share on other sites More sharing options...
Percuss Posted January 18, 2013 Share Posted January 18, 2013 Voila un post qui vient de m'éviter de faire une connerie !! ( A un jour près :ph34r: ) Quote Link to comment Share on other sites More sharing options...
Percuss Posted March 10, 2013 Share Posted March 10, 2013 (edited) J'ai été contacté par un "Gus" dernièrement, me proposant de m'acheter des "actions" sur une application. Ça m'avais pas l'air très clair son histoire, ce serait pas une arnaque par hasard ? Pour couronner le tout le mec se fait appeler "Le créateur play store" Edited March 10, 2013 by Percuss Quote Link to comment Share on other sites More sharing options...
Thouraeg Posted December 29, 2016 Share Posted December 29, 2016 Il y a 14 heures, claire006 a dit : Bonjour, En effet c'est bien ça! Et si je comprends bien vous avez donc une copie de ce que vous avez fait avec votre application? j'aimerais bien en savoir plus si c'est possible. Répondre à un post de 2011, et demander des infos à une personne qui ne s'est plus connectée depuis mars 2016 .... je crois qu'il va falloir patienter longtemps. Quote Link to comment Share on other sites More sharing options...
pnl123 Posted January 21, 2018 Share Posted January 21, 2018 Merci pour l'information. ☺️ Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.