Google implementó un sistema de seguridad para verificar la autenticidad de las aplicaciones de pago que los desarrolladores lancen a Android Market, este sistema verifica en línea si hay un registro de compra por parte del usuario al abrir la aplicación, y si dicha verificación no llega, deshabilitar el funcionamiento de esta aplicación en el móvil.
Pero cuando algo interesa, no tarda en llegar, se ha encontrado una vulnerabilidad para modificar la Android License Verification Library (ALVL) , a través de la estructura del código Java que utilizan la mayoría de las aplicaciones en Android. Todo gracias a Justin Case, un hacker de sombrero blanco, que ha conseguido engañar a dicho método, y no permite validar la respuesta del servidor, e incluso cuando recibe información de que el usuario no la compró, no deshabilita el uso de la aplicación.
No hay comentarios:
Publicar un comentario