Инженер Nokia раскрывает предполагаемые недостатки безопасности Магазина Windows

Несмотря на то, что количество приложений в Магазине Windows продолжает расти хорошими темпами, их еще много, и они покажут, что магазин приложений Microsoft — это отличная возможность для разработчиков. Перед жителями Редмонда стоит задача убедить их в этом, но такие новости, как сегодня, могут и не помочь. Джастин Энджел, инженер, работающий в Nokia, разместил на своем веб-сайте подробный список инструкций по взлому приложений Магазина Windows

Задача инженера — обнародовать ряд ошибок, влияющих на продажу приложений через магазин и внутри них.В заметке, опубликованной на его веб-сайте, который больше не доступен, инженер продемонстрировал, как взломать несколько игр разными способами, от получения бесплатного контента до разблокировки оплаты. уровней или снять временные ограничения пробного периода. Он даже добавил несколько простых, таких как удаление отображаемого, просто отредактировав файл XAML.

Хотя выбранные примеры относятся только к играм, любое другое приложение из Магазина Windows может быть уязвимо. Цель Джастина Энджела — публично раскрыть эти недостатки безопасности, чтобы Microsoft исправила их как можно скорее. Его цель состоит в том, чтобы разработчики могли правильно монетизировать свои приложения, для чего им нужна безопасная платформа.

Проблема заключается в выяснении кто тут виноватХотя инженер Nokia прямо указывает на Microsoft, вплоть до того, что пишет, что если они не исправят эти бреши в безопасности, то не потому, что не могут, а потому, что решили этого не делать; В Microsoft отмечают, что эти уязвимости характерны для любого только что запущенного магазина приложений и что их можно устранить с помощью соответствующего кода. Они также утверждают, что предприняли множество дополнительных мер безопасности и предоставили в своем «Центре разработки» информацию о различных методах, которые разработчики могут использовать для собственной защиты.

Тестируемые приложения очевидно, сохранили свои данные таким образом, чтобы к ним было легко получить доступ, а также выполненные ими запросы . Учитывая это, сотрудники Microsoft помнят, что разработчики могут защищать определенные части своих приложений на удаленном сервере или шифровать их, чтобы защитить важные файлы по своему усмотрению.

Если это так, то обвинять Microsoft в халатности со стороны разработчика приложения, не использующего доступные ему меры безопасности, было бы неправильным. Проблема в том, что одним из приложений, которое Джастин Энджел поставил на тест, был ни много ни мало 'Сапер' ('Minesweeper') от самой Microsoft, из которого ему удалось устранить. Microsoft не следовала собственным рекомендациям или проблема в Магазине вообще? У кого есть причина?

Через | Слэш-снаряжение | Engadget