Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Plagiatsprobleme im Mac App Store

Apple steht im Mac App Store vor einem Problem, das man bis jetzt nur aus dem iOS App Store kannte, der geradezu überschwemmt von Produktkopien ist. Während es sich dabei meist nur um rasch nachprogrammierte, qualitativ minderwertige Plagiate handelt, so taucht im Mac App Store vermehrt ein viel schwierigerer Fall auf: Meist aus China stammende "Entwickler" reichen bestehende Produkte unter neuem Namen erneut ein und geben sie als eigenes Werk aus.

Da es sich um hochwertige Programme handelt, passieren die Apps natürlich Apples Review-Prozess, um dann ganz normal zum Verkauf zu stehen. Es ist dazu lediglich erforderlich, ein Programm umzubenennen und neu zu signieren, anschließend steht der Übermittlung an Apple nichts mehr im Wege. Bis man als Entwickler derlei Angebote entfernen lassen kann, vergeht einige Zeit. Apple muss natürlich erst sorgfältig prüfen, ob es sich wirklich um eine 1:1-Kopie handelt oder ob die Programme dem Original nur sehr ähnlich sehen.

Schafft es der Projektdieb, einige Wochen lang unentdeckt zu sein, so erhält er von Apple auch die monatliche Überweisung. Da auch der Mac App Store inzwischen reich gefüllt an Programmen ist, dauert es allerdings einige Zeit, Plagiate ausfindig zu machen. Bis es besseren Schutz vor einem solchen Vorgehen gibt, kann die Masche also durchaus lohnenswert sein.

Im Falle unseres Software-Portfolios (Synium Software) gab es allein in den letzten beiden Wochen zwei gestohlene Programme: Sowohl MyFourWalls als auch Logoist wurden plötzlich von zwei verschiedenen chinesischen Anbietern unter anderem Namen verkauft. Über diese Entwickler-Accounts liefen auch geklaute Programme weiterer Softwarehersteller - eine Recherche im Mac App Store ergab, dass man sehr rasch weitere Produktkopien findet. Zum Glück reagiert Apple recht schnell auf Meldungen dieser Art - allerdings wäre ein besserer Schutz wünschenswert. Die normale App-Überprüfung erkennt im genannten Fall nämlich kein Problem - immerhin funktioniert die App und tut auch das, was der Beschreibungstext verspricht.

Nicht Logoist, sogar teuer als das Original angeboten... aber noch mit "Logoist" im Fenstertitel auf dem Screenshot.

Kommentare

teorema67
teorema6703.09.14 10:04
Wie, es gibt keinen Weg, Code-Übereinstimmungen schnell und flächendeckend, ähnlich einem Vieenscanner, zu ermitteln?
Wenn ich groß bin, geh ich auch auf die Büffel-Universität! (Ralph Wiggum)
0
gritsch03.09.14 10:05
das sollte apple doch relativ einfach erkennen können. da nicht recompiliert sollten die binaries verglichen werden können. natürlich nicht nur anhand eines hashes (sonst ändert man eben nur irgendeinen string oder setzt in eine unwichtige methode ein NOP rein).
die resourcen (vor allem die xib-files) kann man auch noch vergleichen. ist doch recht unwahrscheinlich dass die binär identisch sind in anderen produkten (die vom gleichen hersteller würd ich ausklammern)
vielleicht haben sie noch nicht dran gedacht
0
gritsch03.09.14 10:07
teorema67
Wie, es gibt keinen Weg, Code-Übereinstimmungen schnell und flächendeckend, ähnlich einem Vieenscanner, zu ermitteln?

doch, man muss es aber auch tun.
aus dem post ist nicht zu erkennen ob die chinesen den code so verändert haben dass er nicht mehr mit einfachen mitteln als identisch angesehen werden kann.
0
Fenvarien
Fenvarien03.09.14 10:08
Die Programme sind allem Anschein nach identisch, da wurde nur der Name verändert. Das Dateisuffix konnten sie nicht ändern - das wäre codeseitig gewesen.
Ey up me duck!
0
gritsch03.09.14 10:10
Fenvarien
Die Programme sind allem Anschein nach identisch, da wurde nur der Name verändert. Das Dateisuffix konnten sie nicht ändern - das wäre codeseitig gewesen.

hätten sie auch ändern können, das suffix hätte nur die gleiche länge haben müssen.
wäre natürlich "mehr" aufwand gewesen...
0
Lefteous
Lefteous03.09.14 10:11
Diese Chinesen...wahrscheinlich sollte man es als Ehrung betrachten, dass das eigene Programm kopiert wurde.
0
gritsch03.09.14 10:12
Lefteous
Diese Chinesen...wahrscheinlich sollte man es als Ehrung betrachten, dass das eigene Programm kopiert wurde.

und wenn wenn jemand einbricht und deine wertgegenstände klaut kannst du es als ehrung an deinem guten geschmack sehen oder?
0
gritsch03.09.14 10:22
ist es eigentlich nicht erlaubt die binary und die signatur zu prüfen?

meine app ist nicht im app-store deswegen weiß ich nicht ob es erlaubt ist. ich prüfe aber ganz einfach im code ob die signatur gültig ist und ob MEIN zertifikat verwendet wurde. natürlich darf man die zertifikats-id nicht einfach als text in den sourcecode packen...

natürlich kann man das auch aushebeln, jedoch ist es einiges an mehraufwand den sich wohl viele nicht antun und dann lieber ein anderes programm klonen und einstellen...
0
Radetzky03.09.14 10:31
gritsch
das sollte apple doch relativ einfach erkennen können. da nicht recompiliert sollten die binaries verglichen werden können. natürlich nicht nur anhand eines hashes (sonst ändert man eben nur irgendeinen string oder setzt in eine unwichtige methode ein NOP rein).
die resourcen (vor allem die xib-files) kann man auch noch vergleichen. ist doch recht unwahrscheinlich dass die binär identisch sind in anderen produkten (die vom gleichen hersteller würd ich ausklammern)
vielleicht haben sie noch nicht dran gedacht

Als Chinesen werden sie ja wohl noch Chinesisch als Sprache hinzufügen. Somit sind natürlich auch die Ressourcen geändert und nicht mehr ohne weiteres automatisch vergleichbar. Wahrscheinlich wird auch noch ein wenig an der Grafik rumgefummelt.
0
Mendel Kucharzeck
Mendel Kucharzeck03.09.14 10:32
gritsch
Das kannst du natürlich überprüfen, der Cracker hat aber die Überprüfung der Signatur und des MAS-Reciepts aus der App ausgebaut. Echt ärgerlich so was...
0
tranquillity
tranquillity03.09.14 10:37
Diese Chinesen ... Vor ein paar Tagen in 3sat war ein Klavierkonzert mit Lang Lang, der hat auch nur kopiert und nix eigenes gespielt ...

Leider ist die Sache aber eigentlich zu ernst um Späße zu machen.
0
gritsch03.09.14 10:48
Radetzky
gritsch
das sollte apple doch relativ einfach erkennen können. da nicht recompiliert sollten die binaries verglichen werden können. natürlich nicht nur anhand eines hashes (sonst ändert man eben nur irgendeinen string oder setzt in eine unwichtige methode ein NOP rein).
die resourcen (vor allem die xib-files) kann man auch noch vergleichen. ist doch recht unwahrscheinlich dass die binär identisch sind in anderen produkten (die vom gleichen hersteller würd ich ausklammern)
vielleicht haben sie noch nicht dran gedacht

Als Chinesen werden sie ja wohl noch Chinesisch als Sprache hinzufügen. Somit sind natürlich auch die Ressourcen geändert und nicht mehr ohne weiteres automatisch vergleichbar. Wahrscheinlich wird auch noch ein wenig an der Grafik rumgefummelt.

nein bestimmt nicht. an den grafiken vielleicht. aber einfach mal so eine sprache hinzufügen geht nicht (die xib-files kannst du nicht öffnen).
0
gritsch03.09.14 10:49
Mendel Kucharzeck
gritsch
Das kannst du natürlich überprüfen, der Cracker hat aber die Überprüfung der Signatur und des MAS-Reciepts aus der App ausgebaut. Echt ärgerlich so was...

ah, also steckt doch ein bisschen mühe dahinter (auf beiden seiten).
muss sich also apple drum kümmern.
0
o.wunder
o.wunder03.09.14 10:49
Vielleicht würde es helfen die Signierung nur machen zu können wenn der Source Code vorliegt und kompiliert wird?

So könnte der Entwickler zB bei dem letzten Compile die Zertifizierung durchführen lassen und eventuell könnte sogar eine CRC über den SourceCode gebildet werden, so dass Änderungen am SourceCode ebenfalls nachweisbar wären.

Wie wird eigentlich mit den erwischten Kopierern verfahren? Die müssten ins Gefängnis und jedes Einkommen + eine Strafe an den ursprünglichen Entwickler zahlen.
0
dan@mac
dan@mac03.09.14 11:01
Wo habt ihr das bei Apple gemeldet?
0
Mendel Kucharzeck
Mendel Kucharzeck03.09.14 11:13
@dan@mac
Hier kannst du das melden:

@gritsch
Ja, sobald die Cracker etwas fähiger sind kann man dagegen als Entwickler kaum was tun. Ärgerlich für Kunden, ärgerlich für uns.
0
Deppomat03.09.14 11:13
Eine kleine Sprachnerverei: das Wort "lohnenswert" ist ein Kuddelmuddel aus "lohnend" und "lobenswert". Gemeint ist "lohnend". Vergleiche "zumindestens".
0
gritsch03.09.14 11:16
o.wunder
Vielleicht würde es helfen die Signierung nur machen zu können wenn der Source Code vorliegt und kompiliert wird?

So könnte der Entwickler zB bei dem letzten Compile die Zertifizierung durchführen lassen und eventuell könnte sogar eine CRC über den SourceCode gebildet werden, so dass Änderungen am SourceCode ebenfalls nachweisbar wären.

Wie wird eigentlich mit den erwischten Kopierern verfahren? Die müssten ins Gefängnis und jedes Einkommen + eine Strafe an den ursprünglichen Entwickler zahlen.

sowas KANN nicht funktionieren.
0
senf_303.09.14 12:23
So viel zur Theorie, dass uns nur der Appstore vor böser Software schützen kann und nur Cydia für raubkopierte Software verantwortlich wäre.
0
iGod03.09.14 12:57
senf_3
So viel zur Theorie, dass uns nur der Appstore vor böser Software schützen kann und nur Cydia für raubkopierte Software verantwortlich wäre.

Äpfel/Birnen.
0
chessboard
chessboard03.09.14 14:00
senf_3
So viel zur Theorie, dass uns nur der Appstore vor böser Software schützen kann und nur Cydia für raubkopierte Software verantwortlich wäre.
Das im Artikel beschriebene Vorgehen hat doch nichts mit Raubkopien im herkömmlichen Sinne zu tun. Bei Raubkopien wären einfach Kopien vom "Logoist" frei erhältlich, ohne dass man dafür zahlen müsste. Hier soll der Nutzer aber durchaus zahlen, jedoch an den falschen Entwickler.

Es handelt sich auch nicht um "böse" Software, sondern einfach um die gleiche Software unter anderem Namen.

So viel zu deinem Senf .
0
Cliff the DAU
Cliff the DAU03.09.14 14:22
Kann mich mal jemand aufklären:
Die Programme (Apps) werden doch mit einer Entwicklungssoftware programmiert und dann kompiliert?
Wie kann jemand an den Programmcode kommen und was ändern und es sein Werk verkaufen???
Oder programmiert jemand das 1:1 nach was die Funktionen betrifft?
„Es gibt keine Nationalstaaten mehr. Es gibt nur noch die Menschheit und ihre Kolonien im Weltraum.“
0
Fenvarien
Fenvarien03.09.14 14:46
Cliff the DAU Wie in der News erklärt: "Es ist dazu lediglich erforderlich, ein Programm umzubenennen und neu zu signieren". Da wird nichts kompiliert, man ändert nur den Namen und schickt es einfach neu an Apple. Ohne den Quellcode zu haben.
Ey up me duck!
0
o.wunder
o.wunder04.09.14 11:27
Fenvarien
Cliff the DAU Wie in der News erklärt: "Es ist dazu lediglich erforderlich, ein Programm umzubenennen und neu zu signieren". Da wird nichts kompiliert, man ändert nur den Namen und schickt es einfach neu an Apple. Ohne den Quellcode zu haben.
Signieren ohne Quellkode compilieren zu müssen ist eben das Übel. Darum ja meine vorige Frage ob man diese Vorgänge nicht miteinander verknüpfen kann.
0
senf_304.09.14 12:57
chessboard
senf_3
So viel zur Theorie, dass uns nur der Appstore vor böser Software schützen kann und nur Cydia für raubkopierte Software verantwortlich wäre.
Das im Artikel beschriebene Vorgehen hat doch nichts mit Raubkopien im herkömmlichen Sinne zu tun. Bei Raubkopien wären einfach Kopien vom "Logoist" frei erhältlich, ohne dass man dafür zahlen müsste. Hier soll der Nutzer aber durchaus zahlen, jedoch an den falschen Entwickler.

Es handelt sich auch nicht um "böse" Software, sondern einfach um die gleiche Software unter anderem Namen.

So viel zu deinem Senf .

Na ja. Dem Entwickler kann es fast egal sein, wie er um sein Geld gebracht wird. Oder? Da aber Apple gerne so viel wie möglich über den Appstore vertreiben möchte, sollten sie bitteschön solche Schweinereien unterbinden. Man könnte fast meinen Apple überwacht das Pornoverbot konsequenter, als derartige Fälle.

So, jetzt bist Du am Zug...
0
Sagrido
Sagrido06.09.14 04:45
Yay - China at its best!
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.