Google a mis à disposition des développeurs d’applications Android, une bibliothèque permettant à ceux-ci de vérifier au préalable que l’application a bien été acheté de manière légale et qu’il dispose bien d’une licence pour l’utiliser. Le but de tout ça était de compliquer le partage des paquets APK (donc l’application) avec ses amis, en d’autres termes endiguer le piratage. Cependant ce n’était sans compter sur des personnes imaginatives qui ont réussi à trouver un moyen pour contourner cette vérification.

[youtube]http ://www.youtube.com/watch ?v=eMZ4qYbpN_s[/youtube]

C’est Justin Case, un chercheur en sécurité, qui a trouvé la solution. Elle n’est pas très compliqué. Partant du principe que la bibliothèque est directement intégrée à l’application java lors de la pré-compilation, il est facile de la récupérer et de la décompiler avec un logiciel adéquate. De là, il suffit d’identifier la condition de validation dans la classe LicenceValidator, de la modifier par un truc simple genre 1=1 et de recompiler le tout. Le nouveau paquet APK sera alors échangeable et installable sur tous les équipements. Facile non ?

Cela montre donc encore une faiblesse du géant Google qui ne semble pas avoir pris toutes les dispositions nécessaires pour mettre en place une solution sécurisée. Le principe pour outrepasser sa limitation reste assez simple et pour une entreprise comme Google je trouve ça dérangeant. On dirait qu’ils ont trouvé « une solution à la va vite » en se disant que ça irait bien comme cela, d’autant plus que le système de vérification de licences est quand même un domaine sensible. Il était évident que des personnes allaient tenter de cracker ce système. Il leur aura fallu en tout et pour tout quelques semaines, même si je pense que quelques heures suffisent quand on se penche sérieusement sur le problème…

Source : Korben