Piratare le applicazioni del Windows Store è facile come bere un bicchier d'acqua a patto di avere le conoscenze giuste. A dirlo non è un semplice "hacker" come vi abbiamo riportato qualche settimana fa, bensì Justin Angel di Nokia, principal engineer per quanto riguarda Windows Phone. Sembra comico che una persona così importante, di un'azienda molto vicina a Microsoft, pubblichi online scoperte controproducenti per il partner di mercato e finanziatore, ma è andata proprio così.
Sul proprio blog - "misteriosamente" inaccessibile, ma consultabile ancora dalla cache di Google - Angel ha pubblicato in modo piuttosto dettagliato come piratare le app con interfaccia Modern UI, bypassare gli acquisti in-app e rimuovere la pubblicità in-game. Non si tratta di procedimenti semplicissimi, ma nemmeno troppo complessi per chi "mastica" di codice, codifica, etc.
Per trasformare un'applicazione da trial in completa basta scaricare un programma che permette di cambiare l'attributo XML dell'applicazione. Allo stesso modo una veloce modifica dei contenuti del file XAML può consentire di rimuovere la pubblicità dall'applicazione. Più complicato invece il meccanismo per bypassare gli acquisti in app, che a quanto pare richiede un po' di reverse engineering di alcune DLL e la decodifica di database.
Nonostante questo Angel ha dimostrato quanto è stato facile accreditarsi un milione di crediti in Soulcraft (pari a un valore di oltre 1000 dollari). Angel ha infine dimostrato anche come si possono bypassare gli acquisti in-app di applicazioni WinJS (Metro/JavaScript) grazie ad alcuni degli script indirizzati a IE10, che è il motore di rendering di queste app.
Tutto questo non fa che chiaramente ridurre la fiducia degli sviluppatori di applicazioni nel neonato Windows Store, sul quale Microsoft conta per il successo di Windows 8 e Windows RT, soprattutto sui tablet. I metodi mostrati da Angel attaccano ogni fonte di reddito ammessa nel Windows Store.
Secondo Angel è possibile proteggere i file con crittografia, ma quando si ha accesso al codice che esegue la crittografia è facile aggirare il problema. "Abbiamo l'algoritmo usato per la crittografia, abbiamo la chiave hash e i dati crittografati. Una volta che abbiamo tutto questo è abbastanza semplice decifrare qualsiasi cosa".
Secondo Sebastian Anthony del sito Extremetch "sarebbe troppo facile incolpare Microsoft. È un problema intrinseco delle applicazioni installate. Le applicazioni Metro sono archiviate sul vostro hard disk e questo significa che avete accesso a codice e dati. Ogni applicazione installata è vulnerabile a questo tipo di attacchi. […] L'unica soluzione reale sarebbe offrire qualche tipo di controllo dal lato server. […] Il problema però è che questo richiederebbe la connessione online permanente e inoltre è molto facile disabilitare i controlli dal lato server con l'hacking del file Host".
Nel frattempo Microsoft ha rilasciato una dichiarazione in merito al problema, ma senza entrare nei dettagli. "Qualsiasi canale di distribuzione software che ha successo deve affrontare persone che desiderano aggirare il sistema per guadagnare illecitamente, e siamo impegnati a proteggere sia l'interesse dei clienti che degli sviluppatori".
"Proprio come hanno fatto con altre piattaforme, gli hacker stanno proponendo modi per compromettere l'integrità delle applicazioni, e questo può avere un sacco di conseguenze negative per il sistema e l'esperienza del cliente. Abbiamo preso una serie di misure supplementari per rafforzare Windows 8, di cui abbiamo discusso nel seguente post", ha concluso Microsoft. Che dite, Angel avrà passato almeno un brutto quarto d'ora?