วิศวกรของ Nokia เปิดเผยข้อบกพร่องด้านความปลอดภัยของ Windows Store ที่ถูกกล่าวหา
แม้ว่าจำนวนแอปพลิเคชันใน Windows Store จะยังคงเติบโตในเกณฑ์ดี แต่ก็ยังมีอีกหลายรายการที่แสดงว่า Microsoft Application Store เป็นโอกาสที่ดีสำหรับนักพัฒนา คนใน Redmond มีหน้าที่โน้มน้าวพวกเขาในเรื่องนี้ แต่ข่าวแบบนี้อาจไม่ช่วยอะไร Justin Angel วิศวกรที่ทำงานให้กับ Nokia ได้โพสต์รายละเอียด รายการคำแนะนำสำหรับการแคร็กแอป Windows Store
วัตถุประสงค์ของวิศวกรคือการเผยแพร่ชุดข้อผิดพลาดที่ส่งผลต่อการขายแอปพลิเคชันผ่านทางร้านค้าและภายในแอปพลิเคชันในบันทึกที่เผยแพร่บนเว็บไซต์ของเขาซึ่ง ไม่สามารถเข้าถึงได้อีกต่อไป วิศวกรได้สาธิตวิธีถอดรหัสเกมหลาย ๆ เกมด้วยวิธีต่าง ๆ ซึ่งมีตั้งแต่การรับเนื้อหาฟรีไปจนถึงการปลดล็อกการชำระเงิน ระดับหรือลบข้อ จำกัด ชั่วคราวของระยะเวลาทดลองใช้ เขายังเพิ่มรายการง่ายๆ เช่น ลบรายการที่แสดงได้ง่ายๆ โดยแก้ไขไฟล์ XAML
แม้ว่าตัวอย่างที่เลือกจะตรงกับเกมเท่านั้น แต่แอปพลิเคชันอื่นๆ จาก Windows Store อาจมีความเสี่ยง เป้าหมายของ Justin Angel คือ เปิดเผยข้อบกพร่องด้านความปลอดภัยเหล่านี้ต่อสาธารณะ เพื่อให้ Microsoft แก้ไขโดยเร็วที่สุด จุดประสงค์คือให้นักพัฒนาสามารถสร้างรายได้จากแอปพลิเคชันของตนได้อย่างเหมาะสม ซึ่งพวกเขาต้องการแพลตฟอร์มที่ปลอดภัย
ปัญหาอยู่ที่การอธิบาย ตรงนี้จะโทษใครดีแม้ว่าวิศวกรของ Nokia จะชี้ไปที่ Microsoft โดยตรง แต่จนถึงขนาดเขียนว่าหากพวกเขาไม่แก้ไขช่องว่างด้านความปลอดภัยเหล่านี้ ก็ไม่ใช่เพราะพวกเขาทำไม่ได้ แต่เป็นเพราะพวกเขาเลือกที่จะไม่แก้ไข จาก Microsoft พวกเขาชี้ให้เห็นว่าช่องโหว่เหล่านี้พบได้ทั่วไปในร้านค้าแอปพลิเคชันใด ๆ ที่เพิ่งเริ่มต้นและสามารถแก้ไขได้ด้วยรหัสที่เหมาะสม พวกเขายังอ้างว่าได้ใช้มาตรการรักษาความปลอดภัยพิเศษหลายอย่างและให้ข้อมูลใน 'Dev Center' เกี่ยวกับเทคนิคต่าง ๆ ที่นักพัฒนาสามารถใช้เพื่อป้องกันตนเอง
แอปพลิเคชันที่กำลังทดสอบ เห็นได้ชัดว่าบันทึกข้อมูลด้วยวิธีที่เข้าถึงได้ง่าย เช่นเดียวกับคำขอที่พวกเขาทำ . ด้วยเหตุนี้ พนักงานของ Microsoft จึงระลึกได้ว่านักพัฒนาซอฟต์แวร์สามารถปกป้องส่วนใดส่วนหนึ่งของแอปพลิเคชันของตนบนเซิร์ฟเวอร์ระยะไกลหรือเข้ารหัสเพื่อให้พวกเขาสามารถปกป้องไฟล์ที่สำคัญได้ตามความจำเป็น
หากเป็นเช่นนั้น ดูเหมือนจะไม่ถูกต้องที่จะกล่าวโทษ Microsoft ถึงความประมาทเลินเล่อในส่วนของผู้พัฒนาแอปพลิเคชันโดยไม่ใช้มาตรการรักษาความปลอดภัยที่มีให้ ปัญหาคือหนึ่งในแอปพลิเคชันที่ Justin Angel นำมาทดสอบคือ 'Minesweeper' ('Minesweeper') จาก Microsoft เอง ซึ่ง เขาจัดการเพื่อกำจัด. Microsoft ไม่ปฏิบัติตามคำแนะนำของตนเองหรือเป็นปัญหาของ Store โดยทั่วไปหรือไม่ ใครมีเหตุผล
Via | ฟันเกียร์ | Engadget
