Инженер компании Nokia поведал о проблемах безопасности приложений в Windows Store

Инженер финской компании Nokia Джастин Энджел (Justin Angel), работающий над внедрением операционных систем Windows Phone 7 и 8 в смартфоны Lumia, поведал об уязвимости онлайн-магазина  Microsoft Windows Store. По его словам, подход его разработчиков к вопросам безопасности может позволить пользователям с достаточным уровнем подготовки довольно лёгко получить свободный доступ к платным приобретениям внутри игр и приложений. Достигается это путём внедрения всего лишь нескольких строк кода JavaScript в процесс совершения покупки, изменения ещё пары строк в системе проверки пользователей, а также изменении игровых файлов.

Последние хранятся локально на компьютере пользователей, так что получить к ним доступ не составляет труда. Зашифрованные файлы лежат рядом с алгоритмом их шифрования и дешифрования, их можно открыть, прочитать и изменить. Для примера Энджел использовал несколько представленных в магазине игр. В игре под названием Soulcraft дешифрование и редактирование XML-файла позволили персонажу первого уровня стать обладателем круглой сумму в миллион золотых, для законного приобретения которых на операционных системах Android и iOS требуется не менее круглая сумма, которая превышает тысячу долларов. Изменение файла в игре Meteor Madness позволяет превратить пробную версию в полнофункциональную, которая стоит $1,5. В игре Minesweeper редактирование файла позволило отключить рекламу (что можно считать самым невинным из вышеописанных поступков), а в Cut The Rope разблокировать уровни персонажа.

Естественно, эти данные сотрудник компании Nokia предоставил не для того, чтобы помочь хакерам сэкономить на играх. Как считает сам Энджел, данная информация поможет Microsoft и разработчикам приложений с большим вниманием отнестись к вопросам безопасности и исключить подобные проблемы в будущем. Правда, руководство Nokia и Microsoft может посчитать, что выкладывать в своём блоге едва ли не полное руководство по взлому было излишним, и добавить к должности «инженер компании Nokia» приставку «экс». Сам блог в настоящее время недоступен.

Представитель Microsoft уже прокомментировал данную информацию. По его словам, компания работает над тем, чтобы усложнить жизнь хакерам на операционной системе Windows 8. «Любой успешный канал дистрибуции приложений вызывает повышенное  внимание злоумышленников, и мы примем все меры для того, чтобы защитить интересы как пользователей, так и разработчиков».