Aunque el número de aplicaciones en la Windows Store sigue creciendo a buen ritmo, todavía faltan muchas por llegar y demostrar que la tienda de aplicaciones de Microsoft es una gran oportunidad para los desarrolladores. Los de Redmond tienen la tarea de convencerles de ello, pero noticias como la de estos días puede que no ayuden. Justin Angel, un ingeniero que trabaja para Nokia, publicó en su página web una detallada lista de instrucciones para crackear aplicaciones de la Windows Store.
El objetivo del ingeniero es hacer públicos una serie de errores que afectan a la venta de aplicaciones a través de la tienda y dentro de las mismas. En la nota publicada en su web, la cuál ya no está accesible, el ingeniero demostraba como crackear varios juegos de diferentes formas que iban desde conseguir contenido gratuito, hasta desbloquear niveles de pago o eliminar las restricciones temporales del periodo de prueba. Incluso añadía algunas tan sencillas como eliminar la publicidad mostrada simplemente editando un fichero XAML.
Aunque los ejemplos escogidos sólo corresponden a juegos, cualquier otra aplicación de la Windows Store puede ser vulnerable. El objetivo de Justin Angel es exponer públicamente estos fallos de seguridad para que Microsoft los corrija cuanto antes. Su intención es que los desarrolladores puedan monetizar sus aplicaciones en condiciones, para lo que necesitan una plataforma segura.
El problema está en dilucidar quién es aquí el culpable. Aunque el ingeniero de Nokia apunta a Microsoft directamente, llegando a escribir que si no solucionan estas brechas de seguridad no es porque no puedan si no porque han elegido no hacerlo; desde Microsoft apuntan que estas vulnerabilidades son comunes a cualquier tienda de aplicaciones que acaba de empezar y que pueden ser solucionadas con el código adecuado. Aseguran además haber tomado una gran variedad de medidas de seguridad extra y proporcionado información en su 'Dev Center' sobre varias técnicas que pueden utilizar los desarrolladores para protegerse.
Al parecer, las aplicaciones puestas a prueba guardaban sus datos de forma que era fácil acceder a ellos, así como a las peticiones que realizaban. Ante esto, la gente de Microsoft recuerda que los desarrolladores pueden proteger parte específicas de sus aplicaciones en un servidor remoto o encriptarlas de manera que puedan proteger los ficheros críticos lo que crean necesario.
De ser así, no parecería correcto acusar a Microsoft de lo que sería una negligencia del desarrollador de la aplicación al no utilizar las medidas de seguridad que tiene a su alcance. El problema es una de las aplicaciones que Justin Angel puso a prueba era, ni más ni menos, el 'Minesweeper' ('Buscaminas') de la propia Microsoft, de la que consiguió eliminar la publicidad. ¿Microsoft no siguió sus propias recomendaciones o el problema es de la Store en general? ¿Quién tiene razón?
Ver 4 comentarios
4 comentarios
rsi
Bueno, lo importante es que se arregle el fallo...
Eso sí, como dice el #1, lo mas raro de todo es que sea un ingeniero de Nokia quien haga publico el fallo... manda huevos.
A alguien se le caerá el pelo.
josecnc
De momento su web ya no es accesible y no me extrañaría que le estén preparando el finiquito.
Este tipo de actuaciones están reguladas por contrato pues hace públicas informaciones de su empresa que son de ámbito interno.
Un saludo.
Alejandro Herrero
No se quien tiene razón. Pues habría que ver exactamente donde se sitúa el supuesto agujero. De lo que no tengo dudas es que no son las formas, básicamente por un "pequeñísimo" detalle, este tipo es ingenrio de Nokia.
¿Estamos locos o qué? De una forma u otra está tirando piedras sobre el tejado de la empresa que le paga. La forma no es exponer al público estas supuestas vulnerabilidades, para que cualquiera se pueda saltar ciertas restricciones, sino que Nokia, de forma oficial, y por los canales oficiales, exija/pida/comunique a Microsoft dichos errores, bugs, o como lo quiera llamar este señor.
Seguramente tiene razón en su exposición, y seguramente esté a caballo entre su forma de verla y la de Microsoft, teniendo desarrolladores por un lado, y la propia Store por otro, parte de culpa. Pero lanzar al aire estas vergüenzas, en los que la plataforma comienza a arrancar, siendo un smartphone de la marca para la que trabajas uno de los buques insignia, me parece un despropósito, para mi, causa más que suficiente de un despido fulminante.
Saludos ;)