有料Androidアプリの不正コピー対策破られる - Googleすぐに反論

ニュース
トップ

有料Androidアプリの不正コピー対策破られる - Googleすぐに反論

Yoichi Yamashita  [2010/08/25]

米Googleは今年7月に有料Androidアプリの不正コピー対策としてライセンス管理サービス「Licensing Service for Android Applications」を用意したが、その導入から1カ月と経たずに、同サービスのライセンス保護を簡単に解除できると主張するセキュリティ研究者が現れた。

Android携帯ユーザーがAndroid Marketから有料アプリを入手した場合、購入記録が同ストアに残される。Licensing Serviceでは、ユーザーがアプリを使用する度にAndroid Marketライセンシングサーバにユーザーのライセンスステータスを問い合わせ、購入記録を基にライセンスを受けた正規ユーザーであるかを確認する。

このLicensing Serviceの脆弱性を指摘したのはJustin Case氏というセキュリティ研究者で、23日(米国時間)にAndroid Policeというサイトで報告している。同氏によると、同サービスにおいてアプリとの通信を処理するLicense Verification Library (LVL) に問題があり、「われわれの確認ではほとんど(すべて?)のアプリが、簡単なパッチの適用でライセンス保護を取り外してオフマーケットの海賊版として用いられるようになる」という。LVLを迂回するステップの解説と共に、パッチした不正コピーアプリがLicensing Serviceで認証されるのを証明する動画も公開している。

Android Policeのレポートに対して、すぐにGoogleのTim Bray氏がAndroid Developersブログで反論した。Diggなどを通じて同レポートの話題が広まっていたため、Android開発者の間に不安が広がるのを食い止めたかったのだろう。

Bray氏の反論のポイントは2つ。まずLicensing Serviceはまだ立ち上げ段階である。ライセンス認証の動作を開発者が柔軟に指定できるのも同サービスの特徴であり、最初のリリースはセキュリティよりもライセンス認証の仕組みを開発者が理解するのを優先し、それぞれに適した形で活用できるように非常にシンプルな形で提供されている。そのため簡易なサンプルをそのまま利用している開発者も多い。だが、実際の利用においてGoogleはコードをobfuscateするのを強く推奨している。同氏によると、これまでに公開されたAndroidアプリへの攻撃はすべて、コードをobfuscateしていないアプリがターゲットになっている。これからサービス自体が成熟し、また効果的な実装方法が開発者に浸透したときに、セキュリティサービスとしてLicensing Serviceが真に機能し始めるというわけだ。

Bray氏は最後に、「海賊行為を困難かつ費用がかかるものにするのと同時に、正当な製品を簡単かつすばやく提供できるようにすることで、不正行為に対する防衛手段がより効果を発揮する。安心してアプリを簡単に購入できる環境と、信用できないブラックマーケット・サイトの2つをユーザーが選択する状況になれば、海賊行為はビジネスとして成り立たない」と述べている。

特別企画

一覧

    人気記事

    一覧

    イチオシ記事

    新着記事

    ソニー銀行、仕組み預金「円定期plus+」取扱い開始
    [10:33 5/26] マネー
    千葉ロッテ、"カープ女子に嫉妬締め"などプロレス技駆使の挑発ポスター掲出
    [10:30 5/26] ライフ
    第28回「サラリーマン川柳」ベスト10決定、トップは「皮下脂肪 資源に…」
    [10:30 5/26] エンタープライズ
    サイオス、クラウド高可用性実現に向けCloud HAソリューション紹介セミナー
    [10:24 5/26] エンタープライズ
    SUUMOとマイクロソフト、地図で探せる物件情報サービス「Bing不動産」
    [10:20 5/26] エンタープライズ

    特別企画

    一覧