Jump to content

Attention au vol d'application et au cyber-squatting


2beta

Recommended Posts

Sur XDA plusieurs personnes se sont fait voler leurs applications (avant mise à disposition sur la play store), et pas le code source juste l'apk, que le voleur a resigné avec son compte et a mis en vente sur le play store avant l'auteur.

Donc avec le même nom et le même logo que la version officielle.

Par contre ils expliquent que c'est facile de limiter le problème, c'est de mettre directement l'application sur le market, même en mode "draft", donc non visible par les utilisateurs. Comme ça le nom de l'application est réservé et comme il n'est pas possible d'avoir 2 même noms, c'est bon. Et seulement ensuite mettre à disposition l'apk ici (ou ailleurs) pour les tests et retour de bugs.

A bon entendeur...

Source : http://forum.xda-dev...ad.php?t=900923

Edit : Je sais que ce n'est pas un projet mais je pense que c'est quand même la meilleure section pour ce post.

Edited by 2beta
  • Like 1
Link to comment
Share on other sites

Une chose est sur, il faut toujours signer les apk que l'on mets à disposition.

Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape

.

Edited by moritan
Link to comment
Share on other sites

sans vouloir jouer les rabat-joies, signer ne protege pas. Il n'y a que la publication sur le market qui le permet et encore(voir plus bas)...

Pour rappel, si on souhaite "de-signer" une appli, il suffit de supprimer le repertoire META-INF de l'apk.

2eme rappel, il est possible de decompiler un apk (d'ou l'interet de l'obfuscation via proguard), puis de le recompiler. Si l'obfuscation permet de proteger son code contre le bricolage, ca n'empechera un gars mal intentionné de changer le nom de package et de rebalancer ca sur le market à son nom...

Une chose est sur, il faut toujours signer les apk que l'on mets à disposition.

Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape

.

Link to comment
Share on other sites

  • 2 months later...

Effectivement c'est pénible ...

Petite solution ?

comparer le nom de l'application avec une valeur en dur (cryptée simplement si possible ... ) dans le programme ? Avec un joli message à l'utilisateur indiquant la contrefaçon puis arrêt de l'application ...

Bien sûr il faut protéger le code de la décompilation ...

Link to comment
Share on other sites

  • 4 months later...

Une chose est sur, il faut toujours signer les apk que l'on mets à disposition.

Sous Eclipse c'est 3 clicks et au moins ça garanti un minimum la provenance de l'apk et offrira une preuve supplémentaire en cas de litige. Bien sur i est possible de changer la signature mais c'est une première étape

.

C'est surtout qu'un apk non signé ne sera pas installable sur un terminal Android.

Changer la signature n'est pas non plus une solution. Un apk qui est installé et qui contient une signature X, si on décide d'installer la mise à jour de l'application qui contient une signature différente, l'installation de la mise à jour échouera. Il faudra alors à l'utilisateur qu'il désinstalle l'application déjà installée (perdant du coup toute sa config) et qu'il installe la mise à jour.

sans vouloir jouer les rabat-joies, signer ne protege pas. Il n'y a que la publication sur le market qui le permet et encore(voir plus bas)...

Pour rappel, si on souhaite "de-signer" une appli, il suffit de supprimer le repertoire META-INF de l'apk.

2eme rappel, il est possible de decompiler un apk (d'ou l'interet de l'obfuscation via proguard), puis de le recompiler. Si l'obfuscation permet de proteger son code contre le bricolage, ca n'empechera un gars mal intentionné de changer le nom de package et de rebalancer ca sur le market à son nom...

Signer une application protège contre les falsifications. Comme je l'ai dit plus haut. Une application signé B ne pourra pas s'installer par dessus une application signée A.

Il ne faut pas supprimer le fichier META-INF mais plutôt les deux des trois fichiers que ce dossier contient. Comme je l'ai dit plus haut. Ne pas signer son apk est useless. A moins que lors de l'envoie vers le market, ce dernier la signe avant de la diffuser. Pour les étourdis :)

Proguard ne protège en RIEN une application. Il ne fait que renommer le nom des fonctions. Le code dalvik est encore visible en clair. Il est encore plus visible et compréhensible avec dex2jar puisque là, on obtient non plus du code dalvik mais carrément du code Java. Je sais, ça fout les boules :)

Effectivement c'est pénible ...

Petite solution ?

comparer le nom de l'application avec une valeur en dur (cryptée simplement si possible ... ) dans le programme ? Avec un joli message à l'utilisateur indiquant la contrefaçon puis arrêt de l'application ...

Bien sûr il faut protéger le code de la décompilation ...

Bon déjà on dit "chiffrer" et pas "crypter" (cf wikipedia: http://fr.wikipedia.org/wiki/Chiffrement ). Cette solution retardera un peu la personne malintentionnée. Comme je l'ai déjà dit au dessus, il ne faut pas oublier que cette personne aura le code dalvik ou pire Java sous les yeux. Quand il verra toutes les chaines en clair et qu'une seule est chiffrée, elle risque de lui sauter aux yeux.

De plus, lui mettre un message d'alerte est la dernière chose à faire. C'est lui indiquer où est le contrôle sur le nom de l'applicatiion.

Protéger le code de la décompilation. Pourquoi pas mais à l'heure actuelle et de par le fonctionnement du système Android ce n'est pas possible. A moins d'ajouter une surcouche sur le bytecode dalvik. Une machine virtuelle qui interprètera de nouveau opcodes... Mais dans ce cas, des taré vont vite se pencher sur cette protection et dé-virtualiser la machine virtuelle du protecteur. On en reviendra au meme point. En plus cette solution va ralentir deux fois (voir trois ou plus) la rapidité d'exécution des applications ainsi protégées.

Mais sinon, pour en revenir au sujet du topic, effectivement c'est franchement malsain de piquer le travail d'un autre et d'en faire du profit. Je crois que dans ce cas là, il faut se retourner contre Google pour qu'ils sécurise leur bordel parce que le market, c'est quand même un gros bordel :)

Link to comment
Share on other sites

  • 2 months later...

Pour ceux qui utilisent Music Box Pro (ou l'ont téléchargé sur Google, suite à son indisponibilité sur le Market), il demande l'autorisation d'accéder au GPS, celui-ci s'active lors du lancement de l'appli, d'une recherche, voir même d'un téléchargement.

Si vous avez une ROM capable de gérer les permissions, désactivez celles de la Localisation GPS. Je l'ai fait et l'application fonctionne parfaitement sans cette permission.

Link to comment
Share on other sites

  • 1 month later...
  • 7 months later...
  • 3 months later...

Merci de ce sticky!

Je completerai en ajoutant qu'il ne faut pas hésiter à utiliser le système de licensing (LVL) avec proguard pour limiter "les dégâts", et cela autant pour les applications payantes que gratuites. Oui, il faut plus de temps pour implémenter correctement cette protection triviale que pour la casser, néanmoins c'est toujours mieux que rien. Il y a bien sûr d'autres moyens d'élever les murs (comme utiliser son propre serveur pour certains contrôles)

J'insiste sur le fait que même les applis gratuites avec pub sont concernées, car certains vecteurs d'attaques consistent à remplacer votre publisher ID par celui d'un autre.

Link to comment
Share on other sites

  • 2 months later...
  • 1 month later...

J'ai été contacté par un "Gus" dernièrement, me proposant de m'acheter des "actions" sur une application.

Ça m'avais pas l'air très clair son histoire, ce serait pas une arnaque par hasard ?

Pour couronner le tout le mec se fait appeler "Le créateur play store"

Edited by Percuss
Link to comment
Share on other sites

  • 3 years later...
Il y a 14 heures, claire006 a dit :

Bonjour,

En effet c'est bien ça! Et si je comprends bien vous avez donc une copie de ce que vous avez fait avec votre application?

j'aimerais bien en savoir plus si c'est possible.

Répondre à un post de 2011, et demander des infos à une personne qui ne s'est plus connectée depuis mars 2016 .... je crois qu'il va falloir patienter longtemps.

Link to comment
Share on other sites

  • 1 year later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...