Инженер компании Nokia поведал о проблемах безопасности приложений в Windows StoreИсточник: theverge Алексей Алтухов
Инженер финской компании Nokia Джастин Энджел (Justin Angel), работающий над внедрением операционных систем Windows Phone 7 и 8 в смартфоны Lumia, поведал об уязвимости онлайн-магазина Microsoft Windows Store. По его словам, подход его разработчиков к вопросам безопасности может позволить пользователям с достаточным уровнем подготовки довольно лёгко получить свободный доступ к платным приобретениям внутри игр и приложений. Достигается это путём внедрения всего лишь нескольких строк кода JavaScript в процесс совершения покупки, изменения ещё пары строк в системе проверки пользователей, а также изменении игровых файлов. Последние хранятся локально на компьютере пользователей, так что получить к ним доступ не составляет труда. Зашифрованные файлы лежат рядом с алгоритмом их шифрования и дешифрования, их можно открыть, прочитать и изменить. Для примера Энджел использовал несколько представленных в магазине игр. В игре под названием Soulcraft дешифрование и редактирование XML-файла позволили персонажу первого уровня стать обладателем круглой сумму в миллион золотых, для законного приобретения которых на операционных системах Android и iOS требуется не менее круглая сумма, которая превышает тысячу долларов. Изменение файла в игре Meteor Madness позволяет превратить пробную версию в полнофункциональную, которая стоит $1,5. В игре Minesweeper редактирование файла позволило отключить рекламу (что можно считать самым невинным из вышеописанных поступков), а в Cut The Rope разблокировать уровни персонажа.
Естественно, эти данные сотрудник компании Nokia предоставил не для того, чтобы помочь хакерам сэкономить на играх. Как считает сам Энджел, данная информация поможет Microsoft и разработчикам приложений с большим вниманием отнестись к вопросам безопасности и исключить подобные проблемы в будущем. Правда, руководство Nokia и Microsoft может посчитать, что выкладывать в своём блоге едва ли не полное руководство по взлому было излишним, и добавить к должности "инженер компании Nokia" приставку "экс". Сам блог в настоящее время недоступен. Представитель Microsoft уже прокомментировал данную информацию. По его словам, компания работает над тем, чтобы усложнить жизнь хакерам на операционной системе Windows 8. " Любой успешный канал дистрибуции приложений вызывает повышенное внимание злоумышленников, и мы примем все меры для того, чтобы защитить интересы как пользователей, так и разработчиков ". |