米Googleは今年7月に有料Androidアプリの不正コピー対策としてライセンス管理サービス「Licensing Service for Android Applications」を用意したが、その導入から1カ月と経たずに、同サービスのライセンス保護を簡単に解除できると主張するセキュリティ研究者が現れた。

Android携帯ユーザーがAndroid Marketから有料アプリを入手した場合、購入記録が同ストアに残される。Licensing Serviceでは、ユーザーがアプリを使用する度にAndroid Marketライセンシングサーバにユーザーのライセンスステータスを問い合わせ、購入記録を基にライセンスを受けた正規ユーザーであるかを確認する。

このLicensing Serviceの脆弱性を指摘したのはJustin Case氏というセキュリティ研究者で、23日(米国時間)にAndroid Policeというサイトで報告している。同氏によると、同サービスにおいてアプリとの通信を処理するLicense Verification Library (LVL) に問題があり、「われわれの確認ではほとんど(すべて?)のアプリが、簡単なパッチの適用でライセンス保護を取り外してオフマーケットの海賊版として用いられるようになる」という。LVLを迂回するステップの解説と共に、パッチした不正コピーアプリがLicensing Serviceで認証されるのを証明する動画も公開している。

Android Policeのレポートに対して、すぐにGoogleのTim Bray氏がAndroid Developersブログで反論した。Diggなどを通じて同レポートの話題が広まっていたため、Android開発者の間に不安が広がるのを食い止めたかったのだろう。

Bray氏の反論のポイントは2つ。まずLicensing Serviceはまだ立ち上げ段階である。ライセンス認証の動作を開発者が柔軟に指定できるのも同サービスの特徴であり、最初のリリースはセキュリティよりもライセンス認証の仕組みを開発者が理解するのを優先し、それぞれに適した形で活用できるように非常にシンプルな形で提供されている。そのため簡易なサンプルをそのまま利用している開発者も多い。だが、実際の利用においてGoogleはコードをobfuscateするのを強く推奨している。同氏によると、これまでに公開されたAndroidアプリへの攻撃はすべて、コードをobfuscateしていないアプリがターゲットになっている。これからサービス自体が成熟し、また効果的な実装方法が開発者に浸透したときに、セキュリティサービスとしてLicensing Serviceが真に機能し始めるというわけだ。

Bray氏は最後に、「海賊行為を困難かつ費用がかかるものにするのと同時に、正当な製品を簡単かつすばやく提供できるようにすることで、不正行為に対する防衛手段がより効果を発揮する。安心してアプリを簡単に購入できる環境と、信用できないブラックマーケット・サイトの2つをユーザーが選択する状況になれば、海賊行為はビジネスとして成り立たない」と述べている。