Developer onthult hack die beveiliging Windows Mobile-apps omzeilt

De Nederlander Chainfire heeft details online gezet van een hack waarmee de beveiliging wordt omzeild die Microsoft had ingebouwd om piraterij op Windows Mobile 6.5 tegen te gaan. Microsoft sloot downloadwinkel Marketplace vorige week.

Windows Mobile Marketplace Volgens Chainfire kan het publiceren van de hack nu geen kwaad meer, omdat het om een beveiliging gaat die ontwikkelaars konden inbouwen in apps die in downloadwinkel Marketplace voor Windows Mobile 6.5 zitten. Microsoft sloot Marketplace voor Windows Mobile vorige week, waardoor gebruikers geen misbruik meer kunnen maken van de kwetsbaarheid in de beveiliging.

Chainfire claimde in 2009 al de beveiliging te kunnen omzeilen, maar publiceerde de details niet, om piraterij van apps via zijn hack te voorkomen. Andere ontwikkelaars hebben de methode niet gevonden, waardoor de beveiliging voor Windows Mobile-apps tot het einde toe heeft standgehouden. Overigens vond er wel veel piraterij van apps plaats op Windows Mobile, maar dat gebeurde vaker via het downloaden van 'cracked'-apps via gespecialiseerde fora en sites.

Volgens de Nederlandse ontwikkelaar zit de kwetsbaarheid van de 'Advanced'-beveiliging voor apps in de code die ontwikkelaars in het applicatiebestand zetten. Die code gaat na of de gebruiker een licentie heeft. Die licentie is gekoppeld aan het Live ID van de gebruiker, waardoor de app niet moet kunnen draaien op andere telefoons dan die van de gebruiker. Een apart bestand dat op de smartphone draait, maakt gebruik van de kwetsbaarheid in de code. Daardoor kan het installatiebestand van het programma wel op andere toestellen worden gebruikt.

De kwetsbaarheid wordt uitgebuit door eerst naar kernel-modus te switchen en vervolgens toegang te krijgen voor het lezen en schrijven van alle processen. Vervolgens wordt het systeem zo aangepast dat elke app die de beveiligingscode van Microsoft wil uitvoeren om de licentie te controleren, wordt omgeleid naar speciaal voor dit doel geschreven code, die vervolgens een seintje geeft dat de licentie klopt.

Reacties (29)

biglia 24 mei 2012 12:14

Ik neem aan dat dit niet kan gebruikt worden bij WP7 toestellen omdat WP7 en Windows Mobile 6.5 helemaal anders in elkaar zitten?

MAX3400

Microsoft

@biglia • 24 mei 2012 12:26

Het artikel gaat over Windows Mobile; een OS wat niet meer bestaat en/of wordt genoemd tegenwoordig aangezien het Windows Phone is geworden. Je eigen vraag beantwoord je al een beetje dus

BikkelZ 24 mei 2012 13:23

Toch jammer hoe er aan zo'n OS een einde komt. Windows Mobile 6.5 was een redelijk compleet OS met multitasking en alles er op en er aan, en zelfs redelijk aantrekkelijk met Sense van HTC. De meeste andere mobiele OS'en zijn toch redelijk dumbed down.

biglia @BikkelZ • 24 mei 2012 14:06

Het is misschien ten einde voor telefoontoestellen, maar er zijn ook andere toestellen die nog werken op Windows Mobile. Dank bijvoorbeeld aan wireless handscanners zoals http://www.windowsfordevi...ories/motorola_mc3100.jpg voor in magazijnen. Wat zou daar mee gebeuren?

Game_overrr @biglia • 24 mei 2012 15:37

Die hebben totaal geen marketplace nodig. Deze apparaten hebben costuom software voor bedrijven waar jij als consument nooit mee zal werken.

supertheiz @BikkelZ • 24 mei 2012 13:52

Jammer?!?!

Windows Mobile is volgens mij het ergste stuk software dat ik ooit ben tegengekomen. Wat een pruts programma en ook nog eens verplicht zijn tot zo'n irritant pielpennetje wat je altijd kwijt bent.

Nee, ik kan het hier niet mee eens zijn. Microsoft wil volgens mij ook zo snel mogelijk het bestaan ontkennen en dit programma in die kluis ver onder de grond stoppen waar ze ook de broncode van Windows ME in hebben verborgen.

Ik geloof dat, als ik moet kiezen, ik liever een videorecorder wil programmeren om het juiste programma op te nemen, als dat ik met een Windows Mobile telefoon een mailtje moet openen en versturen.

Game_overrr @supertheiz • 24 mei 2012 14:13

Wat jij beschrijft is het volgende:

Men neme een telefoon, met 128MB ram en 500 mhz processor. Men neme een willekeurige Android versie, voila.

Dit is het probleem geweest met Windows Mobile. Slome hardware. Wanneer er eens een HTC HD2 gebruikt wordt merk je het: Windows mobile is best een soepel en mooi systeem. Zelf heb ik nog een HTC X7500 en deze draait op een 600MHz en 128MB Ram. Windows mobile vond ik zelf een geweldig systeem.

supertheiz @Game_overrr • 24 mei 2012 16:22

Heb je wel eens de concurrerende software uit die tijd geprobeerd?
Ik heb oa in het verleden een Ericsson R380 gehad. Ondanks de verplichting van het pennetje was dit in 2002 beter als Windows Mobile uit 2010.
http://www.ipmsstockholm..../images/ericsson_r380.jpg
Zelfde kan ik zeggen voor de Nokia Communicator.
http://techdigestuk.typep...ategorized/nokia_9500.jpg
Motorola A780
http://www.extragsm.com/i...A780/Motorola-A780-01.jpg

Voor de duidelijkheid: Ik vind Windows 7.5 op een smartphone op zich geen straf. Paar kleine dingetjes, maar die zullen ze nog wel repareren.

peterh @Game_overrr • 24 mei 2012 16:24

Helemaal mee eens... mijn HTC Tytn II was helemaal top (voor zijn tijd). Zeker met SPB Mobile Shell er op.

Verwijderd @supertheiz • 25 mei 2012 08:34

Blijkbaar heb je nooit een goed toestel of een goed getweakt systeem gehad. Ik gebruik nog steeds een WM6.5 telefoon (Samsung B7610) met een custom rom en dat kan nog steeds meer dan een iPhone of WP7.x: echte multitasking, uSD-slot, TV-uitgang, hardware keyboard. Allemaal zaken die WP7.x en iOS niet ondersteunen.

Heli0s 24 mei 2012 12:02

Netjes dat hij heeft gewacht tot MS de market heeft gesloten, en fijn voor mensen die nog een degelijke phone gebruiken die nu nog apps op hun phone kunnen zetten.

Bartjeh @Heli0s • 24 mei 2012 12:06

Zeker netjes, maar als hij toch niet van plan was om het aan het publiek te onthullen, had hij mijn inziens best aan Microsoft kunnen vertellen hoe het in elkaar stak. Nu hadden eventueel andere mensen het kunnen misbruiken als die het uitgevogeld hadden.

Mathieu_Hinder @Bartjeh • 24 mei 2012 12:12

Ik denk dat het misschien voor de 'eer' was? Hij dus de enige die de beveiling heeft kunnen hacken, en MS heeft nooit geweten hoe. Hij weigerde te vertellen aan anderen hoe het ging, die vonden het zelf niet, wat ik best wel netjes vind. Hij heeft er geen misbruik van gemaakt en nu kan er misschien wel juist gebruik van worden gemaakt, en het kan MS waarschijnlijk toch weinig schelen hoe het nu zit. Een eervolle hacker

Verwijderd @Bartjeh • 24 mei 2012 12:09

ook dan kan je een claim krijgen

renecl @Heli0s • 24 mei 2012 12:06

Denk eerder dat ie geen zin had in een mega-claim van Microsoft ;_)

Mathieu_Hinder @renecl • 24 mei 2012 12:13

Waarom zou hij een mega-claim van Microsoft krijgen? Er zijn zovele hackers en gehackte apps op Android en iOS, en daar wordt ook niemand aangeklaagd. MS had helemaal niets te zeggen over wat hij heeft gedaan en kon daar ook helemaal niets tegen doen volgens mij.

ViperXL @Mathieu_Hinder • 24 mei 2012 18:00

Inderdaad, opdat ik ben vergeten de bouten aan te draaien van 1 van je wielen ga ik jou aanklagen voor dat ongeluk ?

Maar zondermeer netjes gehandelt.

breezie 24 mei 2012 12:12

Toch een slimme kerel die Chainfire.
Gebruik heel wat van zijn creaties op Android (CF-Root, Mobile Odin, Chainfire3D, ...)
Ook mooi dat hij de details niet bekend maakte voordat de windows mobile marketplace gesloten werd.

joentjebe 24 mei 2012 12:17

Netjes dat Chainfire de hack niet heeft gepubliceerd toen het nog kwaad kon.
Door het nu alsnog online te zetten bewijst hij wel dat hij inderdaad die hack heeft gevonden.

Echt niet. 25 mei 2012 12:46

Sowieso is de Marketplace voor Windows Mobile niet nodig. Toen ik mijn HTC Touch Cruise kocht bestond de Marketplace nog niet eens. Toen trok ik alles nog van losse sites af. Een andere optie was er nog niet eens.
Overigens gebruik ik mijn Touch Cruise uit '08 met 6.1 nog steeds, daar er weinig noemenswaardige vooruitgang is op dit gebied. De One X of de iPhone 4S leest dezelfde mail, maar heeft geen offline Tomtom. De verrotte browser neem ik op de koop toe.

huntedjohan @Waterbeesje • 24 mei 2012 12:49

word je nu zelf niet moe van jezelf met dat stoere dollar teken ipv de s? en snap je reactie niet helemaal, je heb blijkbaar zelf geen idee of de beveiliging van MS produkten goed of slecht is maar je breng het stuk als of MS geen beveiliging heeft.

beetje flamen is makkelijk maar je onderbouw niet echt veel.

NicoJuicy @huntedjohan • 24 mei 2012 13:06

Ik gebruik ook meestal $ ipv. de S, niettegenstaande dat ik heel veel windows producten gebruik en Visual Studio een goeie ontwikkelomgeving vindt.

Waarom? Omdat het nog altijd de waarheid voorstelt, ze krijgen $$$ van Android wegens rechtszaken per verkochte licentie en zelf eisen ze zoveel ( +/- 100$) per licentie voor Windows 8 dat het niet gemakkelijk (= onmogelijk) wordt om deze onder de prijs van Android te krijgen.

Ook zijn de ontwikkelomgevingen voor veel platforms (Android, iOS) gewoon gratis, maar als je apps wilt publiceren moet je ervoor betalen (niet bij Android dacht ik) voor een developer licentie, Microsoft vraagt als enige voor beiden geld (voor een complete versie van Visual Studio en SQL Server ben je al een bom geld kwijt).

Dusja, ik gebruik ook M$

Ter info:
MS SQL Server 2008 R2 standard (verouderde versie ondertussen) = 1800 €
MS Visual Studio 2010= 600 €

En ja, er zijn veel duurdere versies van beiden

[Reactie gewijzigd door NicoJuicy op 25 juli 2024 05:22]

dabronsg @NicoJuicy • 24 mei 2012 13:38

Er zijn voor Windows veel meer ontwikkelomgevingen dan de omgeving van MS alleen. Moeten die dan ook gratis zijn? Als MS beide pakketten gratis van de hand zou doen dan verwacht ik rechtzaken van de producenten van die pakketten...

scrappy.doo @dabronsg • 24 mei 2012 14:14

Microsoft bied zelf gratis versies aan van zowel visual studio als voor sql server. Je kan zo GRATIS visual studio express for windows phone gebruiken om apps voor windows phone mee te maken. Bij behoefte aan een sql server is daar sql server express.

Heli0s @NicoJuicy • 24 mei 2012 14:13

Als je een app in de Android market wilt plaatsen moet je ook een dev account kopen a $25,- Linkje

Hijdrofiel @NicoJuicy • 24 mei 2012 14:17

Schijnbaar werken die producten en worden ze gekozen boven de goedkope/gratis alternatieven.

Je moet die producten ook zien dat het voor bedrijven wordt verkocht die geld gaan verdienen door jou producten. Deze producten worden waarschijnlijk meerdere jaren gebruikt (aangezien bedrijven niet snel switchen) dus is er minder afzet van deze producten. En daarbij worden er updates geleverd waarvoor je niet hoeft te betalen.

Ik begrijp dat je als individuele programmeur het beetje prijzig vind maar je kan ook zelf aan de gang gaan met de express producten (gratis).

the_shadow @Waterbeesje • 24 mei 2012 12:24

Je kan nog steeds apps installeren op WM (niet WP

) apparaten, aangezien sideloading gewoon mogelijk is op Windows Mobile. Een market place is niet noodzakelijk.

418O2 @Waterbeesje • 24 mei 2012 12:46

gebruik maar geen M$, komt nogal zielig over.

De beveilig van Windows is niet zo heel erg hoor. En omdat er veel updates kwamen is het geen gatenkaas, gevonden gaten (en die worden veel gezocht) worden vaak vrij rap gedicht.

Op dit item kan niet meer gereageerd worden.

Developer onthult hack die beveiliging Windows Mobile-apps omzeilt

Lees meer

Reacties (29)

Sorteer op:

Weergave: