Pese a que Google implementó un sistema de verificación para asegurar la autenticidad de las aplicaciones de pago que los desarrolladores lancen a la Android Market, luego de un mes de esta medida en el aire ya se ha encontrado una forma de vulnerar la llamada Android License Verification Library (ALVL) y así acceder al software de pago en forma gratuita dentro del sistema.

El sistema, cuando funciona, lo hace verificando en línea si hay un registro de la compra de la aplicación por parte del usuario al momento de abrirla, por lo que de recibirse una respuesta negativa la aplicación corre el código necesario para deshabilitar su funcionamiento en el móvil.

Pero gracias a la estructura del código Java que da forma a la gran mayoría de las aplicaciones en Android, el hacker de sombrero blanco Justin Case logró engañar dicho método al impedir que el programa pueda validar la respuesta del servidor de Google, por lo que incluso cuando éste reciba la información de que la persona no compró la aplicación, no se descontinuará su uso en el móvil.

Ni siquiera es necesario tener acceso raíz o root en Android para hacer este movimiento, siendo posible además crear un modo automatizado para que incluso los menos expertos en programación obtengan aplicaciones gratuitas. Y aunque al parecer el autor de este hack no tiene intenciones de hacerlo, de todas formas dejó un video con la demostración de los hechos.

Link: Android application licensing cracked in under a month (Neowin)