Lücke im Android Market?

Also bevor ich mit diesem heiklen Thema anfange würde ich gerne eines vorweg klarstellen: Ich HASSE diese Umsonst-Mentalität die sich immer mehr ausbreitet und ich bin durchaus bereit für Apps in die Tasche zu greifen. Ich besitze mein SGS2 (und damit mein erstes Android System) zwar erst seit einigen Tagen, habe aber schon Apps im Wert von ~50 Euro erstanden. Ich programmiere selbst beruflich und weis was für eine Sch*** Arbeit selbst hinter kleinsten Programmen stecken kann! Also nicht, dass hier flasche Gedanken oder Anschuldigungen aufkommen!
Da ich momentan selbst mit dem Gedanken spiele einfach zum Spaß einmal eine App zu programmieren und ich mich heute in das Thema Rootrechte zwecks Apps Sicherung mit Titanium Backup eingearbeitet habe kam mir folgender Gedanke, den ich mich ja kaum getraue auszusprechen geschweige denn zu versuchen. Aber ich würde dennoch gerne die Antwort darauf in Erfahrung bringen. Gerne auch per PN mit anschließender Löschung des Posts, sollte das zu *heiß* sein (was ich verstehen kann). Aber gut, ich bin ja neugierig und lernbegierig darum:

Ich kann doch im Market Apps erstehen und bis zu 15min später das wieder revidieren. Soweit so gut. Ist ja auch eine klasse Sache die ich selbst nun auch schon 2x nutzen musste da die App dann doch nicht so toll funktionierte wie in der Beschreibung angegeben und keine Demo existierte. Nun aber folgendes Gedankenspiel:

- Jemand kauft eine App + installiert sie
- Er sichert mit Titanium Backup diese App auf seine SD Karte
- Der Kauf wird innerhalb von 15min revidiert
- Die App anschließend von SD installiert

Ich hab es nicht ausprobiert, aber eigentlich dürfte doch so etwas nicht gehen oder? Das wäre doch eine Katastrophe für jeden Entwickler?! Der Gedanke schockt mich schon ein bisschen, aber ich muss ihn hier einfach mal los werden. Kann man Bezahlapps wirklich so einfach "klauen"? Da muss es doch noch eine zweite "Sicherung" geben, oder?!


LG,
Chris

PS: Und noch einmal der dringende Aufruf es NICHT zu probieren, sondern diesen Käse zu LASSEN! Denn:
1.) ist es eine heiden Arbeit Programme zu schreiben, zu testen und zu debuggen
2.) kosten die Apps wirklich nicht die Welt
3.) erhält man bei gekauften Apps regelmäßige Updates
4.) kann man nur 1x den Kauf revidieren
5.) lebt sonst der Market nicht mehr lange, wenn das alle machen
6.) macht ihr euch damit sicher strafbar
7.) habt ihr ein reines Gewissen
8.) ...

Ob es tatsächlich möglich ist, kann ich dir nicht sagen. Aber selbst wenn es so wäre, wäre es mMn nicht so tragisch. Weil mittlerweile gibt es ja praktisch jedes App in dubiosen Foren. Und eine .apk Datei zu installieren ist wesentlich einfacher als die von dir beschriebene Methode.

kann den thread mal einer löschen? ^^

Tja... das ist halt der Nachteil von Android und absolute Gau eines jeden App-Entwicklers, wenn seine Apps dank einiger Geiz-ist-Geil-Jünger den illegalen Weg auf die Smartphones finden...

Das ist möglich, den Gedanken hattest nicht nur Du.

Mittlerweile gibt es daher immer mehr Apps, die sich online absichern, ob sie auf dem richtigen Handy sind. Solche kann man illegal wohl nur offline betreiben. Ich weiß aber nicht, ob sie dann nach einer Weile nicht doch aussteigen, wenn sie nie nach Hause telefonieren dürfen.

Nur um das ganze zu entschärfen. Es gibt genug Apps, die intern eine eigene "gekauft?"-Validierung durchführen und nur dann funktionieren. Wenn diese Möglichkeit natürlich nur 5% der Hersteller nutzen, dann kann man auch wenig tun. 100% sicher und unumgehbar ist NICHTS!

PS: imho ist der Thread noch ok, solange es sich nur um Gedanken und nicht um Taten dreht. Aber bedenkt trotzdem die Regeln! Danke.

Danke erst einmal für die vielen Antworten. Ich habe ja schon fast befürchtet, dass sowas möglich ist. Wie Matze schreibt, 100%ig sicher ist nunmal nichts. Aber dass es dermaßen leicht machbar ist schockiert mich doch etwas. Darum zu den wichtigeren Fragen, die mich gerade als Programmierer interessieren, sollte ich auch einmal eine öffentliche App schreiben wollen (interessieren würde es mich ja schon):

- Welche internen Validierungsverfahren sind bei Android möglich?
- Welches Verfahren ist dabei zu bevorzugen?
- Gibt es zuverlässige Verfahren die keine ständige Internetverbindung benötigen?

Was ich ausdrücklich nicht möchte sind Verfahren die ständig oder in Intervallen nachhause telefonieren müssen. Wobei sich das evtl. nur sehr schwer verhindern lässt, denn eine einmal aktivierte App lässt sich ja auch sichern. Evtl. könnte man aber den Aktivierungsschlüssel so im Gerät ablegen, dass dieser zumindest nicht mit den "1-Click" Sicherungsapps erfasst wird. Also weder zur App selbst gezählt wird, noch zu den App-Daten. Ob solch eine Distanzierung allerdings bei Android im Bereich des Möglichen ist, davon habe ich als Neuling keinen Schimmer. Falls ja würde man zumindest die breite Öffentlichkeit davon abhalten solchen Unfug zu treiben.
Damit habe ich dann wohl schon einmal das nächste Thema mit dem ich mich mal befassen sollte. Würde mich natürlich freuen, wenn andere, evtl. sogar andere App Entwickler, hier etwas Licht ins Dunkle bringen könnten, wie man seine Apps am besten sichert ohne den User allzu sehr zu verärgern (Nachhause telefonieren,... ). Gibt es empfehlenswerte App-Developer-Foren die zu empfehlen sind? ...wie gesagt, momentan bin ich noch ein blutiger Anfänger, aber das wird schon

LG,
Chris

PS: Ich habe den Titel des Threads mal so geändert, dass er nicht unmittelbar auf die besprochene Problematik hindeutet. Man muss es ja nicht allzu breit treten das Thema. War schließlich nur ein Gedankenexperiment, das sich leider wohl bestätigt hat. Das Interessante werden jetzt die Lösungsvorschläge sein, wie man seine Apps effektiv vor so einer Masche schützen kann.

Matze hat recht so lange es nur bei dem Gedanken bleibt ist das alles noch im grünen Bereich. Was vielleicht noch zu dem Thema zu sagen ist. Selbst wenn man sich diese App sichert ist diese meist von Updates ausgeschlossen ob sich das dann auf dauer lohnt ist zu bezweifeln wenn man mal sieht was eine App kostet.

Chris, wegen der Entwicklungsseitigen Sachen wäre es eventuell ganz ratsam das getrennt im Entwickler-Unterforum anzusprechen.
Ich kann diesbezüglich auch nur spekulieren und einen gedanklichen Ansatz zur Absicherung der eigenen Apps aufschreiben:
Probleme:
* die Überprüfung, ob mit dem aktuellen unter Android verwendeten Google-Acc die App auch gekauft wurde, dürfte nur bei Apps aus dem Original Market funktionieren - schliesst doch einige Geräte/Leute aus
* ein Google-Acc kann auf mehreren Geräten benutzt werden - daher kann auch eine eigene Validierung "darf nur mit dieser IMEI verwendet werden" nicht verwendet werden. Außerdem ist das den ehrlichen gegenüber unfair, da diese die gekaufte App ja auch auf neuen/anderen Geräten verwenden dürfen.

ein Entwicklerforum: http://www.anddev.org/

Danke Matze für den Link in ein Entwicklerforum. Ich werde mir das ganze Thema "Absicherung" einmal gründlich durch den Kopf gehen lassen und mich darüber ausgiebig informieren. Danach spreche ich das mal im Entwicklerforum an. Irgend eine Lösung die die ehrlichen Käufer nicht unfair behandelt wird sich da dann hoffentlich finden lassen.
Aber wie gesagt, zuerst muss ich mich mal mit der Android Entwicklung selbst beschäftigen um einen Einblick zu erhalten was überhaupt alles möglich ist und was man so üblicherweise anwendet.

LG,
Chris

Die von dir beschriebene Methode klappt ganz bestimmt, aber es ist dennoch zu kompliziert.
App.apk bei Google suchen und finden. So machen das die "Geiz-ist-Geil-Jünger".

Ich persönlich verstehe es auch nicht, eine gute App kostet nicht die Welt und ist daher die wenigen Cents/Euro wert.
Was mir aber immer wieder auf den Sack geht ist diese Online-Validierung, okay so sichern sich die Entwickler ab, aber so zwingen die Entwickler den User die Datenverbindung/WLAN immer anzuhaben, und das ist ein NoGo!

So besitze ich die DroidStats Donate Version und dieser verlangte früher immer wieder Internet, zum kotzen!
Bin generell gegen sowas! Es gibt sicher andere Möglichkeiten ohne den www-Zwang.

Ja ChAoZ, da bin ich ganz Deiner Meinung was das angeht. Eine Internet-Lauschverbindung und sei es nur zu Zwecken der Validierung ist ein absolutes NoGo. Eine App die nichts im Netz macht sollte auch die Finger davon lassen. Es sollte dennoch möglich sein sie ordentlich zu abzusichern, so dass zumindest der einfache Missbrauch nicht mehr möglich ist. Und ja, es gibt sicher einfachere Wege um an apk's ranzukommen, wenn man es drauf anlegt, absolut richtig, das ist mir durchaus bewusst. Aber das sollte hier auch keinesfalls das Thema sein. Hier geht es lediglich um den Gedankengang wie solche apk's von Kauf-Apps überhaupt erst in den Umlauf gelangen können. Und dieser Gedanke der mir kam scheint ja wirklich so eine Lücke darzustellen bei entsprechend schwach gesicherten Apps.
Der Market wird jetzt davon nicht untergehen, da ich 1. nicht denke, dass viele so verfahren und das 2. sicherlich auch Google sehr schnell auffallen würde, wenn jemand Apps am laufenden Band wieder storniert. Aber dennoch halte ich es für wichtig die Entwickler hier in einer gewissen Hinsicht zu sensibilisieren und nach Möglichkeiten Ausschau zu halten die a) einen gewissen Schutz vor solchen Machenschaften bieten und b) ein für den ordentlichen Käufer erträgliches Maß hinsichtlich des Validierungsprozesses aufweisen (z.B. ohne Internetverbindung machbar sind).

LG,
Chris

Lizenz app + ziel app zusammen verknüpfen und dann die zweite app als acc verwenden

Mit der kostenlosen PocketPC.ch App von meinem Venue Pro aus geschrieben.

Oder der Market übernimmt die Validierung.
In bestimmten Intervallen (Update-Intervall?) prüft die Market-App auf Gültigkeit und sperrt die App ggf.

Damit würde man die "Online-Validierung" erhalten aber den Check-Intervall verlängern, damit könnte ich leben.

Also die Idee mit der 2. App... würde die nicht auf das Gleiche Problem hinauslaufen, denn dann sichere ich eben 2 Apps?! Gesehen habe ich das aber auch schon. Meine Dropsync App macht das z.B. so. Market Validierung wäre eine Möglichkeit. So, dass evtl. alle 30 Tage um weitere 30 Tage verlängert wird. Schlecht wird es dann nur, wenn die Apps nicht mehr im Market verfügbar sind oder man eben mal keine Internetflatrate in einem Monat hat (z.B. Prepaidkarten) und darum nicht aufs Internet zugreifen kann.
Was auch ganz interessant ist, ist die App aSpotCat. Um dort die Werbung auszublenden musste ich im Market eine "No Ads License" erstehen. Diese wurde auch installiert aber ich bekomme sich nicht! angezeigt. Auch im Market kann ich diese nicht! direkt finden. Das klingt für mich schon nach einer interessanten Lösung.

Es gibt die verschiedensten Möglichkeiten, eine App zu schützen, ich verstehe aber auch, wenn Programmierer nicht allzu gerne darüber Auskunft geben, weil das dazu führen kann, dass der Schutz umgangen wird.

Aber zu deinem Problem: Eine App schreiben und schützen, ohne dass sie immer online gehen muss.

Ich habe beim Betatest einer App mitgemacht, die hatte standardmässig eingeschränkte Funktionalität. Die Freischaltung war so programmiert, dass ich auf dem Display einen Code generieren konnte, den ich dem Entwickler mailen musste. Anschliessend bekam ich einen Freischaltcode. Dieser funktionierte nur auf einem Gerät, beim Wechseln des Geräts konnte ich jederzeit einen neuen Code anfordern.

Damit stellt der Programmierer sicher, dass, auch wenn die APK beliebig kopiert wird, die Software nicht 'einfach so' genutzt werden kann. Was ich daran besonders interessant finde: Die SW kann auch ausserhalb des Markets verbreitet und lizenziert werden. Kann für die eine oder andere Anwendung ganz nützlich sein.

Bedeutet aber auch einen erhöhten Verwaltungsaufwand. Dieser kann nicht unerheblich werden, wenn die App sehr beliebt ist.

Generell mal in die Runde geworfen: Ist so ein Kopierschutz auch wirklich sein Geld wert? Was ich meine ist, dass es ja kaum Sinn macht 100 Arbeitsstunden in den Kopierschutz zu investieren, um hinterher 10€ mehr in der Tasche zu haben. Wenn die App wenig beliebt und somit nicht sehr verbreitet ist, dann erhalte ich wenig zusätzliche Einnahmen durch den Kopierschutz. Wenn sie großen Anklang findet, dürfte es nicht lange dauern bis gewisse Cracker den Kopierschutz umgehen.
Ich meine, nicht mal Ubisofts Online-Zwang hat meines Wissens diesem Sturm standgehalten. Da waren die ersten paar Spiele vielleicht noch ein Erfolg, bis die Cracker-Gruppen mit der neuen Art von Kopierschutz genug Erfahrung gesammelt hatten und dann wieder in gewohnter Manier gecrackte Spiele anbieten konnten. Zumindest ist es dass, was ich so von dieser Szene mitbekomme. Da kann man mich aber auch gerne eines besseren belehren. Auf der anderen Seite sehe ich aber auch nicht Ubisoft eine Party schmeißen, aufgrund ihres sensationellen Erfolgs. Gute/beliebte Spiele verkaufen sich nach wie vor gut. Von sonderlichen Absatzsprüngen sehe ich aber nichts.

Dies aber nur mal am Rande. Wie gesagt verstehe ich die Besorgnis. Als Programmierer würde mir das überhaupt nicht schmecken. Auf der anderen Seite darf man mMn aber auch nicht diesen Zahlen an potentiellen Käufern hinterher träumen. So schlimm das auch ist: Die eine Art von Klientel wird lieber 10 Stunden darauf verwenden einen Schutz zu umgehen, als sich das Produkt zu kaufen. Als Programmierer muss man sich daher meiner Auffassung nach der Frage stellen, ob mit der zu erwartenden Anzahl an ehrlichen Käufern ein Geschäft zu machen ist oder nicht. So bitter das auch klingt...

Also so einen 'Verwaltungsaufwand' betreibt man für eine relativ teure, nicht allzu verbreitete App. Eine App, die läuft wie Sau und vernünftig gepriced ist, braucht das nicht. Ist dann wie bei der Kreditkarte: 5% Missbrauch muss in Kauf genommen werden ...

ja, das mit dem aufwand stimmt natürlich. dennoch gefällt mir die lösung schon sehr gut. ob es sich wirklich lohnt kommt natürlich von fahl zu fall drauf an. ich finde es nur sehr spannend einmal ein bisschen brainstorming zu machen und neue sichtweisen & ideen zu sammeln. wer weiß wann man doras mal brauchen kann.

Sent from my GT-I9100 using Tapatalk

Euch ist schon klar, dass es das selbe Problem wie auf anderen Plattformen ist? Der Vertriebskanal ist dabei eher sekundär. Ja, 15min und man bekommt das Geld wieder, ein Alleinstellungsmerkmal. Und dennoch das selbe Grundproblem.

Sicherheit und Komfort/ Freiheit stehen sich gegenüber. Letzten Endes bin ich überzeugt davon, dass das Produkt überzeugen muss. Illegal kopieren tun es eh jene, die es wollen. Das Thema gibt es seit es Software gibt.

Sent from mobile.