W poprzednim tygodniu Microsoft zaktualizował AppHuba. Oprócz nowej nazwy – Dev Center – zostały dodane nowe funkcjonalności. Dodatkowo portal działa obecnie zdecydowanie szybciej.
Wracając jednak do tytułu wpisu. Wraz z nowym portalem została wprowadzona drobna zmiana polegająca na szyfrowaniu plików XAP. Z punktu widzenia finalnego użytkownika zmiana ta jest kosmetyczna i nie powinna być dostrzeżona.
Natomiast z punktu widzenia programistów tworzących aplikacje na telefony z systemem Windows Phone zmiana ta jest bardzo istotna. Do niedawna twórcy aplikacji byli narażeni na kradzież ich rozwiązań. Wystarczyło:
[list icon=”check”]
- zainstalować jedno z dostępnych narzędzi do ściągania plików XAP,
- ściągnąć plik XAP na dysk,
- zmienić jego rozszerzenie na ZIP,
- rozpakować i otworzyć dowolnym narzędziem do deasembleracji.
[/list]
Po wykonaniu tych kroków uzyskiwało się dostęp do kodu źródłowego ściągniętej aplikacji. Takie działanie pozwalało na dwie rzeczy. Po pierwsze osoba dokonująca tego ataku mogła usunąć zabezpieczenia płatnych aplikacji i zainstalować je za darmo na swoim telefonie. Po drugie, taka osoba mogła w bardzo prosty sposób opublikować aplikację, która była klonem ściągniętej aplikacji. Ten scenariusz jest bardziej niebezpieczny. W jednej chwili czas poświęcony na stworzenie aplikacji oraz pomysł zostają ukradzione.
Odpowiedzią na drugi scenariusz jest włączenie szyfrowania dla wszystkich plików XAP ściąganych z Windows Phone Marketplace. Obecnie po ściągnięciu pliku XAP i zamianie rozszerzenia na ZIP niczego już nie zobaczymy. Pliku nie można otworzyć.
Podsumowując – pomysł bardzo trafiony, szkoda, że na jego realizację trzeba było tak długo czekać. Zastanawiam się jeszcze tylko jak długo zaproponowane zabezpieczenie będzie skuteczne.
Zostaw komentarz