Naiv?

Nur mal angenommen ich habe mein Androiden ge-rooted, ist ja nicht sehr schwer. Dann suche ich mir also meine host-Datei, trage den Google-Auth-Server ein und gebe standardmäßig ein ACK zurück. (Eine Verschlüsselung macht das nur marginal schwerer, Google muss ja die API ohnehin freigeben. Also kann ich die für meine eigene Auth-App missbrauchen.)

Das wäre der erste und einfachste Angriffsvektor auf dieses Auth-System. Der ehrlich zahlende (bspw ich, ich hab mittlerweile ~80 EUR in Android-Apps investiert) ist der Dumme, weil er ständig Traffic verursacht, was wiederum an der Batterie zieht.
Und so träge wie der Markt abends in .de ist, gehe ich davon aus, dass einige Apps nur vormittags laufen werden...

Nur meine paar Cents zum Thema.

Ja
Definitiv ein naiver Beitrag

Man merkt, dass grundlegende Bestandteile einer Diskussion heutzutage in der Schule nicht mehr gelehrt werden.
Es gab Zeiten, da hatte man eine andere Meinung und hat diese zumindest mit Argumenten untermauert.

Offensichtlich wird nur noch dummes Getrolle gelehrt... owait... Golem-Forum. Ich vergaß.

Wurzel-Androide schrieb:
--------------------------------------------------------------------------------
> Nur mal angenommen ich habe mein Androiden ge-rooted, ist ja nicht sehr
> schwer. Dann suche ich mir also meine host-Datei, trage den
> Google-Auth-Server ein und gebe standardmäßig ein ACK zurück.

Wenn nicht die IP hardgecodet ist (nur so ein erster spontaner Gedanke).

> Der ehrlich zahlende (bspw ich, ich hab mittlerweile ~80 EUR in
> Android-Apps investiert) ist der Dumme, weil er ständig Traffic verursacht,
> was wiederum an der Batterie zieht.

Nö, nicht ständig, nur wenn Du sowieso online (eventuell sogar konkret im Store) bist.

> Und so träge wie der Markt abends in .de ist, gehe ich davon aus, dass
> einige Apps nur vormittags laufen werden...

Naja, die Prüfung läuft zwar über die Market-Software auf Deinem Smartphone, aber nicht zwangsweise über die Market-Server. Vermutlich wird dafür ein (oder mehrere) dedizierte Auth-Server aufgesetzt, so dass das von der Auslastung des Markets an sich unabhängig ist.

Ich bin ja auch kein Fan von solchen Systemen, aber die von Dir angeführten Kritikpunkte halte ich doch für arg aus der Luft gegriffen.

Gruß
Tantalus

___________________________

Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

So einfach ist das nicht ;) Die Antwort vom Lizenzserver ist signiert (siehe Bild)

Tantalus schrieb:
--------------------------------------------------------------------------------
> Wurzel-Androide schrieb:
> ---------------------------------------------------------------------------
> -----
> > Nur mal angenommen ich habe mein Androiden ge-rooted, ist ja nicht sehr
> > schwer. Dann suche ich mir also meine host-Datei, trage den
> > Google-Auth-Server ein und gebe standardmäßig ein ACK zurück.
>
> Wenn nicht die IP hardgecodet ist (nur so ein erster spontaner Gedanke).

Sollte man doch aber trotzdem via HOST umbiegen können. Die IP findet man mit nem Sniffer vermutlich recht schnell.

>
> > Der ehrlich zahlende (bspw ich, ich hab mittlerweile ~80 EUR in
> > Android-Apps investiert) ist der Dumme, weil er ständig Traffic
> verursacht,
> > was wiederum an der Batterie zieht.
>
> Nö, nicht ständig, nur wenn Du sowieso online (eventuell sogar konkret im
> Store) bist.
>

Ist 3G/GPRS nicht in so ner Art Stand-By Modus wenn es nicht verwendet wird. Mir war so, als hätte ich auf xda-devs mal sowas gelesen zu haben. Ich gestehe, weiss ich aber nicht genau. HSDPA schon den Akku noch weniger als WLAN, gerade ist auf VR ne Diskussion darüber entbrannt.

> > Und so träge wie der Markt abends in .de ist, gehe ich davon aus, dass
> > einige Apps nur vormittags laufen werden...
>
> Naja, die Prüfung läuft zwar über die Market-Software auf Deinem
> Smartphone, aber nicht zwangsweise über die Market-Server. Vermutlich wird
> dafür ein (oder mehrere) dedizierte Auth-Server aufgesetzt, so dass das von
> der Auslastung des Markets an sich unabhängig ist.

Der Markt hat auch mehrere verteilte Zugriffspunkte, die länderspezifisch angefragt werden. Trotzdem, und daher meine Annahme, ist der Market abends doch sehr zäh. Wenn die Berechtigungen sehr restriktiv sind und die Anfragen nicht durchkommen, ist die Wahrscheinlichkeit für einen unfreiwilligen Demomodus recht hoch.

>
> Ich bin ja auch kein Fan von solchen Systemen, aber die von Dir angeführten
> Kritikpunkte halte ich doch für arg aus der Luft gegriffen.
>

Dafür sind Diskussionen da, um andere Meinungen zu hören. :)

> Gruß
> Tantalus

Wurzel-Androide schrieb:
--------------------------------------------------------------------------------
> > Wenn nicht die IP hardgecodet ist (nur so ein erster spontaner Gedanke).
>
> Sollte man doch aber trotzdem via HOST umbiegen können. Die IP findet man
> mit nem Sniffer vermutlich recht schnell.

Also, entweder ich steh auf dem Schlauch (gleich mal nachguckt, nö, liegt keiner da) oder wir reden von verschiedenen Dateien. Die Hosts löst doch nur Domainnamen in IP-Adressen auf, wie willst Du da eine im System hardgecodete IP umbiegen? oO

> Ist 3G/GPRS nicht in so ner Art Stand-By Modus wenn es nicht verwendet
> wird. Mir war so, als hätte ich auf xda-devs mal sowas gelesen zu haben.
> Ich gestehe, weiss ich aber nicht genau. HSDPA schon den Akku noch weniger
> als WLAN, gerade ist auf VR ne Diskussion darüber entbrannt.

Eine Internetverbindung wird doch generell nur bei Bedarf aufgebaut, egal ob 3G/GPRS auf Standby lauscht und ab und an das eine oder andere keepalive-Paket schickt. Ansonsten hättest Du im Ausland ja generell ganz miese Karten (oder müsstest Dein Smartphone grundsätzlich ausschalten).

> Der Markt hat auch mehrere verteilte Zugriffspunkte, die länderspezifisch
> angefragt werden. Trotzdem, und daher meine Annahme, ist der Market abends
> doch sehr zäh. Wenn die Berechtigungen sehr restriktiv sind und die
> Anfragen nicht durchkommen, ist die Wahrscheinlichkeit für einen
> unfreiwilligen Demomodus recht hoch.

Also, jetzt mal rein nach den Gesetzen der Logik: Wenn ich sowas programmieren müsste, würde ich ein "Lizenzserver antwortet nicht (innerhalb des vorgegebenen Zeitraums)" mit einem "nicht mit dem Internet verbunden" gleichsetzen, bzw eine Routine einbauen, die die Abfrage im Hintergrund offen lässt. Denn seine Kunden vergraulen wegen eines zäh reagierenden Market-Servers ist wohl kaum im Interesse der App-Entwickler, und somit auch nicht im Interesse Googles.

> Dafür sind Diskussionen da, um andere Meinungen zu hören. :)

So lange es auf einem gewissen Niveau bleibt. ;-)

Gruß
Tantalus

___________________________

Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

cairl schrieb:
--------------------------------------------------------------------------------
> So einfach ist das nicht ;) Die Antwort vom Lizenzserver ist signiert
> (siehe Bild)

Jup, und Google liefert die Lib um mit diesem zu kommunizieren gleich mit. Stellt sich natürlich die Frage _WIE_ die Signierung stattfindet - Hinweg, Rückweg oder Beides. Letzteres liefert mir alles nötige mit.
Ich habe keinen Zweifel an der Fähigkeit der Google-Entwickler, vermutlich haben sie genau diesen Weg elegant verbaut. Ist ja auch, wie schon geschrieben, der erst beste Gedanke um das System auszuhebeln.

Plus, ich kaufe mir meine Apps ohnehin. Bisher habe ich gar nicht in Erwägung gezogen, diese bspw. auf den Androiden meiner besseren Häfte spielen. Was will Sie auch schon mit SUFBS oder SetCPU ;)

Tantalus schrieb:
--------------------------------------------------------------------------------
> Wurzel-Androide schrieb:
> ---------------------------------------------------------------------------
> -----
> > > Wenn nicht die IP hardgecodet ist (nur so ein erster spontaner
> Gedanke).
> >
> > Sollte man doch aber trotzdem via HOST umbiegen können. Die IP findet
> man
> > mit nem Sniffer vermutlich recht schnell.
>
> Also, entweder ich steh auf dem Schlauch (gleich mal nachguckt, nö, liegt
> keiner da) oder wir reden von verschiedenen Dateien. Die Hosts löst doch
> nur Domainnamen in IP-Adressen auf, wie willst Du da eine im System
> hardgecodete IP umbiegen? oO
>

Valider Punkt, mein Denkfehler war, dass es auch in beide Richtungen geht. also bspw 1.2.3.4 localhost. Gerade getestet, geht nicht. Dann wirds schon bedeutend schwieriger, aber für findige Köpfe sicher nicht unmöglich.

Ob sichs für die paar Euronen allerdings lohnt, sei dahingestellt.

Das liegt nicht an Golem und auch nicht an der Schule, das liegt einfach am Internet selbst, da geben dann gerne viele dumme Kommentare ab, die sie sich im realen Leben verkneifen würden.

Wurzel-Androide schrieb:
--------------------------------------------------------------------------------
> cairl schrieb:
> ---------------------------------------------------------------------------
> -----
> > So einfach ist das nicht ;) Die Antwort vom Lizenzserver ist signiert
> > (siehe Bild)
>
> Jup, und Google liefert die Lib um mit diesem zu kommunizieren gleich mit.
> Stellt sich natürlich die Frage _WIE_ die Signierung stattfindet - Hinweg,
> Rückweg oder Beides. Letzteres liefert mir alles nötige mit.
> Ich habe keinen Zweifel an der Fähigkeit der Google-Entwickler, vermutlich
> haben sie genau diesen Weg elegant verbaut. Ist ja auch, wie schon
> geschrieben, der erst beste Gedanke um das System auszuhebeln.
>
> Plus, ich kaufe mir meine Apps ohnehin. Bisher habe ich gar nicht in
> Erwägung gezogen, diese bspw. auf den Androiden meiner besseren Häfte
> spielen. Was will Sie auch schon mit SUFBS oder SetCPU ;)


Ähm, ich glaube du solltest dich zum Thema Signatur nochmal informieren. Google wird mit Sicherheit die zurückgeschickte Antwort signieren. Da der jeweilige Private-Key dafür wohl kaum veröffentlicht wird stehen deine Chancen SEHR schlecht ;).
Sofern für so etwas anerkannte Verfahren benutzt werden (und davon ist bei Google auszugehen) hast du keine Chance überhaupt nur eine valide Antwort zu erzeugen.

Wenn überhaupt, dann ist der Angriffspunkt die Implementierung auf Client-Seite. Die Signierte Antwort des Auth-Servers wirst aus o.g. Gründen niemals faken können.