Aunque el número de aplicaciones en la Windows Store sigue creciendo a buen ritmo, todavía faltan muchas por llegar y demostrar que la tienda de aplicaciones de Microsoft es una gran oportunidad para los desarrolladores. Los de Redmond tienen la tarea de convencerles de ello, pero noticias como la de estos días puede que no ayuden. Justin Angel, un ingeniero que trabaja para Nokia, publicó en su página web una detallada lista de instrucciones para crackear aplicaciones de la Windows Store.
El objetivo del ingeniero es hacer públicos una serie de errores que afectan a la venta de aplicaciones a través de la tienda y dentro de las mismas. En la nota publicada en su web, la cuál ya no está accesible, el ingeniero demostraba como crackear varios juegos de diferentes formas que iban desde conseguir contenido gratuito, hasta desbloquear niveles de pago o eliminar las restricciones temporales del periodo de prueba. Incluso añadía algunas tan sencillas como eliminar la publicidad mostrada simplemente editando un fichero XAML.
Aunque los ejemplos escogidos sólo corresponden a juegos, cualquier otra aplicación de la Windows Store puede ser vulnerable. El objetivo de Justin Angel es exponer públicamente estos fallos de seguridad para que Microsoft los corrija cuanto antes. Su intención es que los desarrolladores puedan monetizar sus aplicaciones en condiciones, para lo que necesitan una plataforma segura.
El problema está en dilucidar quién es aquí el culpable. Aunque el ingeniero de Nokia apunta a Microsoft directamente, llegando a escribir que si no solucionan estas brechas de seguridad no es porque no puedan si no porque han elegido no hacerlo; desde Microsoft apuntan que estas vulnerabilidades son comunes a cualquier tienda de aplicaciones que acaba de empezar y que pueden ser solucionadas con el código adecuado. Aseguran además haber tomado una gran variedad de medidas de seguridad extra y proporcionado información en su 'Dev Center' sobre varias técnicas que pueden utilizar los desarrolladores para protegerse.
Al parecer, las aplicaciones puestas a prueba guardaban sus datos de forma que era fácil acceder a ellos, así como a las peticiones que realizaban. Ante esto, la gente de Microsoft recuerda que los desarrolladores pueden proteger parte específicas de sus aplicaciones en un servidor remoto o encriptarlas de manera que puedan proteger los ficheros críticos lo que crean necesario.
De ser así, no parecería correcto acusar a Microsoft de lo que sería una negligencia del desarrollador de la aplicación al no utilizar las medidas de seguridad que tiene a su alcance. El problema es una de las aplicaciones que Justin Angel puso a prueba era, ni más ni menos, el 'Minesweeper' ('Buscaminas') de la propia Microsoft, de la que consiguió eliminar la publicidad. ¿Microsoft no siguió sus propias recomendaciones o el problema es de la Store en general? ¿Quién tiene razón?
Ver 4 comentarios