Chaos Computer Club analysiert vermeintlichen Bundestrojaner

Wie der Chaos Computer Club (CCC) heute auf seiner Webseite mitteilte, sei ihm eine Schadsoftware zugespielt worden, die vom „Besitzer“ mit dem Verdacht auf einen Bundestrojaner vermerkt wurde.

CCC Bundestrojaner (Screenshot der Webseite)

Der CCC analysierte die Schadsoftware [1], die aus einer Windows-DLL ohne exportierenden Routinen bestand. In 20-seitigen Bericht [2] wird der Aufbau der Software beschrieben, die von Beginn an in der Lage ist Funktionen nachzuladen, hierzu sind zwei externe Server IP-Adressen fest in den Programmcode eingebunden. Die Software enthält einen Keylogger, der in der Lage ist Eingaben von Google Chrome, Firefox, Skype, MSN Messenger, ICQ, Yahoo Messenger und weiterer Software abzufangen und zu übermitteln. Ebenfalls sind Funktionen enthalten um Screenshots zu tätigen, Zugriff auf Peripherie wie das Mikrofon oder die Webcam zu erhalten, gerade in Verbindung mit Skype.

Der CCC bemängelt in seiner Analyse darüberhinaus die fehlenden Sicherheitsfunktionen und die schlechte Programmierung (immer in Hinsicht auf den Verdacht dass eine Regierungsstelle hinter der Software steht), so werden die übermittelten Daten nur unzureichend verschlüsselt, ebenso schützt sich die Schadsoftware nicht gegen erneute externe Übernahmen, ist also gefährdet selbst zu einer Hintertür weiterer Angreifer zu werden.

Ob hinter der entdeckten und analysierten Schadsoftware tatsächlich eine behördliche Organisation steckt, kann nicht abschliessend bewiesen werden. Vermutlich wird hierzu in den nächsten Tagen ein Dementi veröffentlicht werden, greift der CCC doch sehr stark in Richtung Regierung an und vermutet einen Bundestrojaner, wie er in der ursprünglichen Fassung im Februar 2008 durch das Bundesverfassungsgericht abgelehnt wurde. Der Ersatz der „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ), als genehmigte Variante, die sich ausschliesslich auf die Telekommunikation zu beziehe habe, würde durch eine solche Schadsoftware, wie der vom CCC analysierten, die nachladbare Funktionen erlaubt, widersprechen.

F-Secure hat die Software indes in ihre Datenbank aufgenommen [3] und erkennt sie als „Backdoor:W32/R2D2.A“, einem String im Code geschuldet, der vor der Ausführung einer Datenübermittlung genutzt wird.

Was sagt ihr zum Fund des CCC und der Vermutung eines Bundestrojaners?

Wissenshungriges Windows 8 – Verbesserung der Software oder fehlender Datenschutz?

Windows 8 ist in einer Developer Preview verfügbar und kann von interessierten Benutzern, sowie Entwicklern heruntergeladen werden. Ich habe mir die aktuelle Version in virtueller Umgebung installiert und euch zwei Screenshots aus der Installation gemacht, denn Microsoft würde gerne so einiges von euch wissen wollen.

Wie schon Windows Phone 7, so möchte auch Windows 8, in der Developer Preview, einige Informationen abgreifen, die zur Verbesserung der Software, des Marktplatzes, der Anwendungen und so weiter beitragen sollen.

Die Einstellungen im Überblick:

Windows 8 Developer Preview - Datenschutz Teil 1
Windows 8 Developer Preview - Datenschutz Teil 1
Windows 8 Developer Preview - Datenschutz Teil 2
Windows 8 Developer Preview - Datenschutz Teil 2
  • Informationen über die Webinhalte an Microsoft senden um den Windows Store zu verbessern
  • An Microsofts SpyNet teilnehmen und Infos senden um verdächtige Software und Malware besser erkennen zu können
  • Standortdaten übermitteln, wenn man Anwendungen nutzt, die auf diese Zugreifen können oder solche verarbeiten können
  • Am Microsoft „Customer Experience Improvement“ (CEI) Programm teilnehmen
  • In Verbindung mit dem CEI die Windows Hilfe verbessern
  • Apps erlauben, auf Basis des Names und Benutzerbildes, personalisierten Content zu liefern
  • Apps Zugriff auf die Standortdaten geben

Alle diese Einstellungen sind standardmässig aktiviert! Ich gehe davon aus dass man diese Datenübermittlung automatisch abnickt, wenn man die „Express“-Einstellungen in der Installation auswählt. Gesehen habe ich diese Optionen da ich die Installation benutzerdefiniert durchgeführt habe.

Natürlich helfen alle diese Dinge ein Softwareprodukt und damit verknüpfte Dienste zu optimieren, gerade in der Entwicklungsphase. Es ist allerdings davon auszugehen dass diese Einstellungen bestehen bleiben und es in die finale Version, irgendwann in 2012, schaffen werden. Nicht jeder Benutzer möchte Zugriff auf all diese Informationen gestatten, daher soll an dieser Stelle auf die Einstellungen hingewiesen sein.

Wie steht ihr zum allgemeinen Datenhunger unter dem Deckmantel der Optimierung des Benutzererlebnisses?

Sicherer Netzwerkzugriff mit OpenVPN und Android

Erst kürzlich haben wir euch gezeigt, wie es möglich ist unter Android mit der App SSH Tunnel, seinen Datenverkehr in öffentlichen WLANs zu verschlüsseln. Dort erwähnte ich, das es möglich ist mit Hilfe einer SSH- oder einer VPN-Verbindung den Datenverkehr getunnelt über einen Proxy Server laufen zu lassen. Hier möchte ich euch nun zeigen, wie einfach es ist, OpenVPN unter Android zu benutzen.

Wir bedienen uns dafür wieder einer kostenlosen App namens OpenVPN Settings. Um diese App nutzen zu können benötigt ihr root und zusätzlich muss die OpenVPN Binary vorhanden sein.  (Und BusyBox)

OpenVPN Settings ist ähnlich zum Menü WLAN Einstellungen aufgebaut.

Die App lässt sich ähnlich leicht bedienen wie die App SSH Tunnel. Ihr benötigt ein OpenVPN Zertifikat und die Konfiguration, von dem Server mit dem ihr euch verbinden möchtet. Ob das nun das Zertifikat des Netzes eurer Firma ist, eures heimischen Computers oder eines Servers im Internet ist dabei völlig egal. Einfach die Zertifikat Dateien in ein Verzeichnis namens „openvpn“ eurer SD Karte legen (z.B. [sws_highlight hlcolor=“fbfac7″] /sdcard/openvpn/mein-zertifikat.cert(.key|.ovpn)[/sws_highlight]) und danach in der App das Zertifikat auswählen. Ihr werdet nun mit dem OpenVPN Server verbunden und seht dann eine Notifiction das ihr verbunden seid, wo ihr auch eure aktuelle Datenrate seht. Ob die OpenVPN Binary vorhanden ist könnt ihr ganz einfach prüfen. Sie müsste wenn dann in [sws_highlight hlcolor=“fbfac7″]/system/bin/openvpn[/sws_highlight] oder [sws_highlight hlcolor=“fbfac7″]/system/xbin/openvpn[/sws_highlight] liegen. Auf meinem Gerät war die OpenVPN Binary mit Cyanogen 6 schon verfügbar. Für all diejenigen, die die Binary noch nicht haben hab ich unten ein kleines HowTo abgehangen.

Nun benötigt ihr nur noch einen lauffähigen VPN Server um das ganze zu benutzen. Der liebe @nodch wird in kürze noch ein kleines HowTo schreiben wie man OpenVPN korrekt unter Ubuntu aufsetzt. Dann ist euer Android Gerät ein vollwertiges Mitglied des Netzes und ihr dürft alles machen wozu ihr berechtigt seid. Ich persönlich schalte jeden morgen den Rechner an meinem Arbeitsplatz so an 🙂

[sws_toggle1 title=“Installation der OpenVPN Binary (Zum anschauen klicken)“]Ihr benötigt ein gerootetes Gerät um BusyBox und OpenVPN zu installieren. Bitte beachtet das auf manchen CustomROMs wie Cyanogen das schon mitinstalliert ist!

  1. Verschafft euch root
  2. Ladet euch BusyBox aus dem Android Market falls nicht vorhanden
  3. Installiert BusyBox am besten nach [sws_highlight hlcolor=“fbfac7″] /system/xbin [/sws_highlight]
  4. Ladet euch nun den OpenVPN Installer aus dem Android Market
  5. Installiert OpenVPN ebenfalls am besten nac  [sws_highlight hlcolor=“fbfac7″] /system/xbin [/sws_highlight]
  6. Fertig 🙂

Diese Vorgehensweise sollte bei den meisten Geräten/Firmwares funktionieren, ich kann es leider aber nicht für alle Garantieren.[/sws_toggle1]

Was werdet ihr lieber benutzen? VPN oder SSH?

Android Datenübertragung in öffentlichen WLANs verschlüsseln

Es ist noch nicht allzu lange her, da gab es ein riesen Theater darum, dass Google Anwendungen teilweise Daten unverschlüsselt überträgen. Das Problem wurde teilweise behoben und die bemängelten Google Anwendungen benutzen nun SSL zur Verschlüsselung, jedoch ist dieses Problem nicht Google exklusiv. Jeder der sich in einem ungesicherten WLAN befindet oder über einen WLAN Hotspot surft, ist potenziell gefährdet. Ein Angreifer kann problemlos an die übertragenen Daten gelangen und diese dann unter Umständen missbrauchen, wie es bei Googles Anwendungen möglich war. Es gibt viele Apps, die das in Android eingetragene Google Konto verwenden und sensible Daten wie Passwörter im Klartext durch die Luft schicken. Dem kann man nur entgegen steuern, indem man den gesamten Traffic einer Anwendung oder des ganzen Systems getunnelt über eine SSH- oder eine VPN- Verbindung laufen lässt. Das ist aber nicht immer einfach und oft wissen nur Leute, die sich wirklich damit auskennen, wie genau man so etwas unter Android macht.

Abhilfe schafft da ein Programm wie SSH Tunnel. Diese App ermöglicht es ganz bequem einen SSH Tunnel aufzubauen und den Datenverkehr einzelner Apps, oder des gesamten Android-Systems, umzuleiten. SSH Tunnel erlaubt es mehrere Profile anzulegen, welche alle unterschiedliche konfiguriert werden können. Man könnte theoretisch für jeden Hotspot einen anderen Proxy benutzen. 😉

SSH Tunnel Einstellungen

Die Konfiguration ist für jeden verständlich: Hostnamen und Port des Servers eingeben, auf dem ein SSH Deamon verfügbar ist. Benutzer und Passwort eingeben und eigentlich seid ihr dann auch schon fertig. Einfach Verbinden, und der Traffic geht sichere Wege. KeyFiles können natürlich auch verwendet werden (nur OpenSSH). Optional könnt ihr auch Port Forwarding betreiben, leider funktioniert das Ganze nur mit Root. Wollt ihr den ganzen Spaß nur für einzelne Anwendungen benutzen, muss zusätzlich noch iptables vorhanden sein.

Ein praktisches Feature ermöglicht es, den SSH Tunnel an WLAN Netze oder 2G/3G zu binden, so wird der SSH Tunnel nur aktiv, wenn ihr in einem speziellen WLAN seid.

Testet es selbst einmal und schreibt uns eure Erfahrungen!

 

[sws_blue_box box_size=“620″]Positiv:
[sws_ui_icon ui_theme=“ui-smoothness“ icon=“ui-icon-plus“] [/sws_ui_icon] Gelungene App, die ein großes Maß an Sicherheit in offenen WLANs und Hotspots garantiert.
[sws_ui_icon ui_theme=“ui-smoothness“ icon=“ui-icon-plus“] [/sws_ui_icon] Viele Einstellungsmöglichkeiten, sehr einfache Konfiguration und praktische Features.

Negativ:
[sws_ui_icon ui_theme=“ui-smoothness“ icon=“ui-icon-minus“] [/sws_ui_icon]  Nur mit Root wirklich lauffähig.[/sws_blue_box]

Sensible Daten in der Cloud – Teil 1

Nicht erst seit Apple die “Ei-Cloud” in jedes Medium katapultiert hat, erfreuen sich Clouds einer steigenden Beliebtheit. Neben den Großen wie Amazon und Dropbox gibt es auch kleine Clouds wie die “Ubuntu-One” von Canonical (die Firma hinter Ubuntu Linux) und Cloudbox von LaCie.

Unter Linux wird man auf jeden Fall Dropbox und speziell unter Ubuntu auch Ubuntu-One finden. Steffen Herrman hat in “Dropbox Dateien und Ordner für jeden zugänglich machen” schon darüber berichtet. Ich möchte hier auf einen Aspekt eingehen, den Steffen ausgespart hat. Die Datensicherheit in der Cloud.

Alle Anbieter versprechen, dass die Daten auf jeden Fall sicher und vor dem Zugriff durch Unbefugte geschützt sind. Nicht erst seit dem Dauer-Hacking-Opfer SONY sollte jedem klar sein, dass es diese Sicherheit nicht gibt! Dropbox ist der Beweis dafür. Am 20. Juni war es durch ein Update möglich, sich ohne korrektes Passwort bei ca. 1% der Benutzer einzuloggen. Der Zauber dauerte ganze 5 Stunden. Soviel zum Thema “meine Daten sind sicher”.

Sicherlich kann man es einfach unterlassen, sensible Daten in der Cloud zu speichern. Wenn es einem Cloud-Benutzer aber nicht egal ist, ob die Daten gelesen werden können, dann hilft nur die Verschlüsselung. Hier gibt es verschiedene Ansätze, die sich auch je nach Betriebssystem unterscheiden.

Für Windows und Linux eignet sich der Einsatz des freien TrueCrypt. Allerdings wird hier ein verschlüsselter “Container” erzeugt, in dem –ähnlich einer ZIP-Datei– alle Dateien gespeichert werden. Nach außen ist nur eine große Datei zu sehen. Für den Sync bedeutet das dann, dass für jede kleine Änderung der gesamte Container in die Cloud übertragen werden muss. Und das kann ein zeitaufwendiges Unterfangen werden. Der Vollständigkeit wegen, einen Artikel dazu findet ihr unter “Dropbox und TrueCrypt – verschlüsselte Daten in der Cloud”.

Einfache Lösungen für Linux

Als Linux-User ist man in der glücklichen Lage, unter verschiedenen Lösungen wählen zu können. Ich habe mich für den FUSE-Dateisystem EncFS entschieden. Bei den meisten Distributionen ist dieses kommandozeilenbasierende Programm in ihrem Lieferumfang enthalten. EncFS geht dabei den Weg, dass ein Verzeichniszweig mit verschlüsselten Daten nach dem Entschlüsseln einfach in ein leeres Verzeichnis eingehängt wird (gemountet). Alle Daten und auch die Namen der Verzeichnisse und Dateien sind verschlüsselt.

Für die Verwendung in einer Cloud bedeutet das, dass die verschlüsselten Verzeichnisse einfach in den Sync-Ordner gelegt werden, während der entschlüsselte Teil im normalen Home-Verzeichnis liegt. Zum Beispiel könnte ~/Dropbox/.Privates_encfs entschlüsselt als ~/Privates eingebunden werden. Der Punkt am Anfang des Verzeichnisnamens sorgt dafür, dass man das verschlüsselte Verzeichnis in seinem Dropbox-Ordner nicht sieht. Mehr lesen

reCaptcha Mailhide

E-Mail Adressen mit Mailhide fürs Web absichern

reCaptcha Mailhide
reCaptcha Mailhide

Das Internet ist mit Spam gut gefüllt, darum sollte man seine E-Mail Adresse tunlichst nicht im Web kursieren lassen. Mittel und Wege, es den Spammern ein wenig schwerer zu machen, gibt es genug.

Bots suchen regelmässig die Webseiten auf nutzbare E-Mailadressen ab, um diese für Spammails zu nutzen, denn Spam ist ein durchaus lukratives Geschäft.

Es versteht ist daher von selbst, oder sollte es zumindest, warum es keine gute Idee ist, seine eigene E-Mail Adresse öffentlich ins Web zu stellen. Im Artikel zu den Google+ Invites habe ich in einem Nebensatz bereits erwähnt, dass man Adressen mit Mailhide hinter eine Captcha Abfrage stecken und den Bots somit ein Schnippchen schlagen kann. Dies ist natürlich auch keine 100% Sicherheit, allerdings der Klartext-Veröffentlichung der eigenen Adresse immer vorzuziehen.

reCaptcha Mailhide ist denkbar einfach zu nutzen, man besucht die Webseite, gibt seine E-Mail Adresse ein und drückt auf „Protect it!“. Anschliessend bekommt man zwei Varianten, wie man die „verschlüsselte“ Adresse nutzen kann.
Variante 1 ist die Nutzung mittels URL, sprich man kopiert sich die Adresse und stellt diese dort online, wo man sie braucht. Klickt nun jemand auf die URL, muss er, bevor man die Adresse sieht, ein Captcha lösen.
Variante 2 ist für den direkten Einbau auf Webseiten vorgesehen und geschieht mittels HTML Code, der die Adresse in Form von mei…@domain.de anzeigt, mittels Klick auf die „…“ gelangt man zur gleichen Captcha Abfrage, wie schon bei Variante 1.

Legt euch am besten direkt ein Lesezeichen für reCaptcha Mailhide an, damit ihr beim nächsten Mal eure Adresse ein wenig besser schützt.

Abschliessend würde es mich interessieren, wie ihr es mit E-Mail Adressen im Internet handhabt. Nutzt ihr ähnliche Dienste wie Mailhide, oder gar temporäre Inboxen? Lasst es mich wissen!

BackTrack 5 Screenshot

BackTrack 5 für Android Smartphones

Ganz neu ist die Meldung für einige sicherlich nicht, Ubuntu basierte Distributionen wurden schon mehrfach für ARM Geräte und somit auch Android portiert, BackTrack 5 ist daher keine Ausnahme.

BackTrack 5 Screenshot

Heute hat allerdings msullivan, seines Zeichens Forenmitglied der XDA-Developers Foren, ein fertiges Paket zusammengestellt, welches sich mittels Shellscript leicht auf beinahe allen Android Smartphones installieren lässt. Lediglich die Installation der BusyBox wird vorausgesetzt, damit die benötigten Shellbefehle ausgeführt werden können.

BackTrack 5 ist die wohl bekannteste und umfangreichste Penetration Testing Distribution, mit einer Umfangreichen Sammlung an Programmen und Scripten, die von Netzwerkspezialisten gerne zur Sicherheitsüberprüfung der eigenen Netz verwendet wird. Mit BackTrack 5 für Android kann man viele dieser Aufgaben direkt vom Smartphone aus erledigen.

Dank msullivan ist die Installation von BackTrack 5 sehr einfach geworden, Root auf dem Android Gerät vorausgesetzt:

  1. Paket herunterladen und entpacken: Aktueller Link im XDA-Developers Thread verfügbar
  2. Den Ordner bt5 ins Rootverzeichnis der SD-Karte des Android Gerätes verschieben
  3. Android Gerät vom USB trennen, bzw. die SD-Karte wieder bereitstellen
  4. Einen Terminal Emulator starten
  5. su im Terminal Emulator eingeben und dann mit cd /sdcard/bt5 ins Verzeichnis wechseln
  6. BackTrack 5 mittels sh bt starten

Das wars auch schon, falls alles reibungslos geklappt hat, sollte man mittels SSH oder VNC Verbindung zum Android Gerät aufnehmen können. Das Rootpasswort, sowie das Passwort für den VNC-Zugang sind standardmässig auf ‚root‘ gesetzt.

Möchte man direkt am Android Gerät einen GUI-Zugriff auf BackTrack erhalten, sollte man sich einen VNC Viewer aus dem Android Market installieren und anschliessend eine Verbindung zu 127.0.0.1 (localhost) auf Port 5901 herstellen, Passwort, wie schon erwähnt, ist ‚root‘.

Quelle: XDA-Developers

Android Geräte mit Google Apps verwalten und Sicherheitsrichtlinien durchsetzen

Android Geräte mit Google Apps verwalten und Sicherheitsrichtlinien durchsetzen

Im vom Google Mobile Blog veröffentlichten Beitrag „Bring Your Phone to Work Day: Managing Android Devices With Google Apps„, stellt Google die Möglichkeit vor, Smartphones mittels Google Apps aus der Ferne zu verwalten.

Mit der in kürze im Android Market verfügbaren „Google Apps Device Policy“ App wird es möglich sein Android Smartphones mit verschiedenen Sicherheitsrichtlinien zu versehen. So können etwa die Passwortstärke, die Passwortzusammensetzung (mindestens Buchstaben und Zahlen), die Zwangsnutzung eines Passwortes für das Gerät, sowie eine Löschung aller Daten aus der Ferne (z.B. bei Verlust des Gerätes), konfiguriert werden.

Many Android devices feature tight integration with Google Apps, including native applications for Gmail, Google Talk, and Google Calendar, as well as mobile access to Google Docs. Now any employee with an Android device running version 2.2 – personal or company-issued – can access their corporate information while allowing administrators to enforce data security policies such as:

  • Remotely wipe all data from lost or stolen mobile devices
  • Lock idle devices after a period of inactivity
  • Require a device password on each phone
  • Set minimum lengths for more secure passwords
  • Require passwords to include letters and numbers

When the employee leaves the company, the administrator can withdraw access to corporate info, which allows the employee to continue to use their device if it’s their own

Mittels dieser Fähigkeiten können Unternehmen ihre Sicherheitsrichtlinien besser umsetzen und auf mobile Geräte ausweiten, gerade für Bestandskunden von Google Apps eine interessante Funktion. Die App und die Funktion in Google Apps sollen innerhalb der nächsten Tage für alle Kunden von Google Apps Premier und Google Apps Education Edition kostenfrei zur Verfügung stehen.

Voraussetzung für die Nutzung ist ein Androidgerät mit Android in Version 2.2.

Zwei-Faktor Authentifizierung für Google Apps

Zwei-Faktor Authentifizierung für Google Apps

Zwei-Faktor Authentifizierung für Google Apps
Zwei-Faktor Authentifizierung für Google Apps

Google spendiert seinen Google Apps Varianten Education, Goverment und Premier Edition eine Zwei-Faktor Authentifizierung und erhöht damit die Sicherheit der Accounts um ein Vielfaches.

Zwei-Faktor Authentifizierung beruht auf einer Kombination von zwei Authentifizierungsarten, dem Wissen (man kennt sein Passwort oder eine PIN) und dem Besitz (man besitzt eine Karte, ein Token, ein Handy usw.).

Google Apps Administratoren, der oben genannten Versionen, können ab sofort ihre Benutzer für die Zwei-Faktor Authentifizierung freischalten. Nach Eingabe des Passworts sendet Google per SMS eine PIN zu, die ebenfalls eingegeben werden muss. Alternativ kann anstelle der SMS Variante eine Software für Android, iOS oder BlackBerry genutzt werden, die direkt auf dem jeweiligen Endgerät installiert wird.

Diese Authentifizierungsart bietet sich zur Erhöhung der Sicherheit dringend an, schaltet man die Gefahr von Keyloggern und ähnlichen Mechanismen aus, denn ein Passwortdiebstahl reicht nicht aus. Auf der anderen Seite reicht es ebenfalls nicht aus das entsprechende Endgerät zu entwenden, wenn man nicht parallel in Besitzt des passenden Passwortes gelangt ist. Die zugesendeten PINs sind Einmal-Passwörter.

Google plant das Authentifizierungsschema in den nächsten Monaten für alle Google Konten freizugeben.

Quelle: Official Google Enterprise Blog

Android Entwickler bekommen Lizenzschutz von Google

Android Market LizenzserverIn den letzten Tagen gab es viel Neues rund um Androids Market, so wurden die die Marketbedingungen angepasst und sollen in Zukunft die Möglichkeit bieten Apps 48 Stunden lang, anstelle von 24 Stunden zu testen, sowie die Vorbereitung zur Abrechnung über den Mobilfunkanbieter.

Heute veröffentlichte Tim Bray eine weitere Neuerung im offiziellen Android Entwickler Blog: Android Entwickler sollen die Möglichkeit erhalten ihre Apps vor illegalen Kopien zu schützen, ein von Entwicklern bisher immer wieder erwähntes Manko.

Apps können auf Androidgeräten als APK Paket eingespielt werden, ohne Prüfung ob die App rechtmässig erworben wurde. In Zukunft sollen Entwickler die Möglichkeit haben eine Abfrage in ihre Anwendungen einzubauen, die Verbindung mit Googles Lizenzserver aufnimmt und den verknüpften Google Account prüft. Diese Verbindung soll eine zuverlässige Methode bieten zu erkennen ob eine Anwendung vom genutzen Account rechtmässig erworben wurde, andernfalls wird die Ausführung unterbunden.

Die Überprüfung einer Lizenz mittels Server soll in Zukunft die bisherige Kopierschutzfunktion für Bezahlanwendungen im Android Market ersetzen. Entsprechende Entwicklungsbibliotheken stehen für alle Androidversionen ab 1.5 zur Verfügung und können von den Entwicklern ab sofort genutzt werden.

Anwendungsentwickler werden sich freuen, bietet die Methode offensichtlich eine zuverlässige Art der Lizenzprüfung und Verteilung von APKs, im Sinne der illegalen Nutzung, sollte damit überholt sein. Eines der Hauptargumente, die grosse Entwicklungsschmieden gegen den Android Market immer wieder vorbringen, ist damit entkräftigt.

UPDATE: Kurz nach Veröffentlichung dieses Beitrages hat Tim Bray einen neuen Blogartikel online gestellt in dem weitere Informationen zum Lizenzserver Vorgehen erklärt werden, unter anderem dass man im Offlinefall den letzten Status aus dem Cache auslesen kann, das Androidgerät also nicht permanent online sein muss um Anwendungen zu nutzen.