Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties

Een developer die werkt met Windows Phone 8.1 klaagt erover dat apps op het mobiele besturingssysteem onversleuteld staan opgeslagen. Hierdoor is via een kleine omweg sideloading mogelijk. Hierdoor zou het gemakkelijk zijn om ook betaalde apps te kopiëren.

Op Reddit klaagt een developer met het pseudoniem Snickler over het feit dat de appx-packages op Windows Phone 8.1, en ook Windows RT, via de Bing-zoekoptie eenvoudig gevonden kunnen worden. Met behulp van software kunnen de onversleutelde appx-packages uitgepakt worden en de onderdelen weer gecompileerd worden zodat deze via sideloading opnieuw zijn te installeren op bijvoorbeeld een ander toestel.

Volgens Snickler zou Microsoft dit probleem moeten verhelpen omdat het zo mogelijk wordt om gekochte apps via sideloading te verspreiden. Hij zegt tot nu toe weinig feedback te hebben ontvangen na een posting op het XDA-forum.

Onduidelijk is nog of Microsoft dit probleem gaat verhelpen. Verder meldt hij dat developers die willen voorkomen dat Windows Phone 8.1-apps gekopieerd worden, deze beter in Silverlight kunnen ontwikkelen. Deze packages zijn nog wel versleuteld.

Moderatie-faq Wijzig weergave

Reacties (44)

Ondertussen wordt de reddit post met de laatste informatie geupdate door "Snickler".
Hij lijkt gehoor te krijgen Microsoft.

EDIT: As /u/NickeManarin pointed out, using .NET Native will help by compiling your assemblies to native code. The only issues are that .NET Native is in preview at the moment and there are certain restrictions compiling apps with .NET Native

EDIT 2: The support technician I spoke to has been the greatest help. He followed the steps in the article and was able to reproduce it. He's sending the details to his superiors so that they can engage with the groups responsible. No timeframes are available which is understandable, but at least it is being looked into.
Ontwikkelaar plaatst bevindingen op XDA. Niemand reageert. Ontwikkelaar klaagt op Reddit dat er niemand reageert. Pas na klagen op Reddit gaat hij contact opnemen met Microsoft. Logisch dus dat MS nog niet eerder heeft gereageerd want hij heeft helemaal nog geen contact met ze opgenomen. Dit is hetzelfde als een hacker die een lek direct op internet gooit in plaats van eerst contact op te nemen met de eigenaar van de site/ fabrikant.
Overigens is het een beetje overdreven verhaal.

Apps op Windows Phone 8 zijn enkel op het interne geheugen op te slaan. Op Windows Phone 8.1 ook op SD kaart maar zijn daar wel degelijk versleuteld. Echter indien je als ontwikkelaar zelf applicaties ontwikkeld, kun jij je eigen apps side-loaden.

Waarom is dat relevant. Welnu, omdat de deze persoon claimt dat het via het web mogelijk is om de binaire Moderne SDK Appx (maar niet de Silverlight XAP) van een eerder door jou reeds geklochte app te krijgen, en deze dan te sideloaden (al dan niet na repackage) op andere toestellen.

Echter:

1) Dat sideloaden kan echter maar op 3 toestellen tegelijk die allemaal op jouw naam staan. Niet onmogelijk, maar dus onpraktisch om een grootschalige business te beginnen. Verwijder je namelijk een toestel uit jouw lijst, zal het toestel na X tijd automatisch de apps uitschakelen.
2) Het is gekoppeld aan jouw developer Live ID. En dat is geen annoniem ID, maar eentje die wél jouw persoonsgegevens bevat. Ga je dus groot, komt er vanzelf een auto met blauwe uniformen voorrijden.

Dus ja, dom van Microsoft, maar ook weer geen halszaak. Het is vooral dom omdat ze bij Silverlight het al opgelost hadden in 7.5 waar bij 7.0 dit probleem ook al speelde. Iets met ezel en twee keer die steen ... |:(

( En voor de volledigheid: Het is ook mogelijk als enterprise te sideloaden. Als werknemer van bijvoorbeeld IBM met toegang tot IBM certificaten kun je dan wel grootschalig aan de gang op de bedrijfstelefoons. Als bedrijf zal IBM dat uiteraard zelf niet doen, en als rogue werknemer ook niet handig, als je je baan graag wilt behouden tenminste. )
Overigens is het een beetje overdreven verhaal.
Dat is het eigenlijk niet. Het is een lange tijd goed gegaan met het wp8 platform, maar het ging mis toen ze de bootloader van de Samsung ativ s en de huawei w1/2 voor groot publiek hadden gekraakt (voor de lumia 920 moet je bepaalde hardware tools hebben).

Zo halen ze dus op grote schaal apps binnen en bieden deze (ga de link niet plaatsen) op het internet aan of via 3th party stores. Microsoft kan dit zeer gemakkelijk oplossen hoe ze het ook bij wp7.5 hadden gedaan. Ik ben blij dat het eindelijk aan het licht is gekomen, want het is al een tijd gaande. Custom rom draaien is erg leuk met Windows Phone, iedere ROM draait tenminste stabiel en kom geen rare bugs tegen die ik met android ervaar. Alleen vind ik het jammer om te zien dat mensen deze mogelijkheden misbruiken om maar een app te jatten dat een biertje op een terrasje had gekost.
Je mist het punt. Wat hier besproken wordt is geen 'kwestbaarheid' in Windows Phone, en heeft niets te maken met het kraken van bootloaders. Het is een probleem met de Appx packages in combinatie met een slechte beveiliging van de nieuwe Moderne SDK Store

Het gaat namelijk enkel om Appx packages, die enkel draaien op Windows Phone 8.1. Dat zijn apps gemaakt met de nieuwe Moderne SDK. Echter verreweg de meeste apps zijn op de Silverlight SDK gebaseerd en gebruiken XAP als package.
En dat is inclusief veel van de nieuwe Windows Phone 8.1 apps, die gebaseerd zijn op de Silverlight 8.1 SDK.

Dus het op grote schaal is onmogelijk, simpelweg omdat er nog maar weinig apps beschikbaar zijn die deze SDK gebruiken.

Ofwel:
- enkel op Windows Phone 8.1
- enkel indien de app in kwesitie de Moderne SDK gebruikt ipv Silverlight SDK.
- enkel indien je de telefoon developer unlocked met alle beperkingen zoals besproken.

Dat is vooralsnog een kleine groep.
Ik mis het punt niet. Ik heb op meerdere forums gelezen (en zelf getest) dat ze juist phones gebruiken met custom roms om zo zeer gemakkelijk alle xaps en appx van de Phone af te halen. Je hoeft daarbij geen developer te zijn om deze apps te installeren, zolang je maar root rechten hebt op je device.
Dat is vooralsnog een kleine groep.
Dit is het dus juist niet en dat is de reden dat developers aan de bel trekken. Mijns inziens niet op de juist manier, ze hadden beter Microsoft rechtsreeks moeten benaderen.

In de wp7.0 tijdperk gingen .xaps unencrypted van de store naar de device toe en konden zo worden opgevangen. Dit is al een lange tijd opgelost alleen vinden sommige mensen altijd een manier om op grote schaal apps te plunderen.

[Reactie gewijzigd door vali op 9 juli 2014 22:10]

Je hoeft daarbij geen developer te zijn om deze apps te installeren, zolang je maar root rechten hebt op je device.

Dat is echter dus NIET het probleem dat hier beschreven wordt.

Of het custom rom probleem een groot probleem is, is een ander verhaal. Ik denk ook van niet omdat het enkel twee a drie specifieke modellen betreft, die bovendien niet erg goed verkocht zijn.

En dan nog is het process van unlocken niet zo gebruiksvriendelijk als bij Android, en heeft veel meer haken en ogen dan jij schijnt te denken.
Dat is echter dus NIET het probleem dat hier beschreven wordt.
Dat het hier niet beschreven wordt heb ik weinig grip op (informatie qua mobile platform is hier op FP ook niet van hoog niveau), het draait hier uiteindelijk om dat developers niet blij zijn dat apps gemakkelijk verspreid kunnen worden. Ik beschrijf hoe het op grote schaal gebeurd. De toestellen die ik aanhaal worden juist door tweakers gekocht die weten waar ze mee bezig zijn en gebruiken om andere toestellen te unlocken. Zo hebben ze net de lumia 920 unlocked en als je het verleden bekijkt van wp7 begon het allemaal met de Samsung omnia 7.
En dan nog is het process van unlocken niet zo gebruiksvriendelijk als bij Android, en heeft veel meer haken en ogen dan jij schijnt te denken.
Het heeft een reden dat full -en unlocken interop moeilijk wordt gemaakt op Windows Phone toestellen en dat komt omdat Microsoft graag op Enterprise niveau groot wilt worden. Dit lukt al aardig omdat vele grote bedrijven van BB afstappen en WP8 toestellen inzetten.

Welke haken en ogen jij inziet vraag ik mij persoonlijk wel af :? Microsoft moet bedrijven zoals Huawei en Samsung helpen met het fixen van hun geleverde software. Die maken het namelijk mogelijk om zeer gemakkelijk toestellen te unlocken.

[Reactie gewijzigd door vali op 10 juli 2014 00:01]

Verder meldt hij dat developers die willen voorkomen dat Windows Phone 8.1-apps gekopieerd worden, deze beter in Silverlight kunnen ontwikkelen. Deze packages zijn nog wel versleuteld.
Treurig, want SilverLight is soon EOL.
Apps in silverlight ontwikkelen wordt nog gewoon ondersteund op WP. Daar is helemaal geen EOL-datum aangeplakt.
Silverlight zijn toch xap bestanden die wanneer je ze hernoemt naar zip, gewoon kan uitpakken. Je hebt dan de beschikking over alle dll's.
Probeer dat maar eens met de xap bestanden voor Windows Phone. Die zijn gesigned, en dus niet zonder meer uit te pakken op dat moment.
Sideloading werkt enkel op Enterprise Windows versies (of Pro + sideloading key), en op Windows Phone heb je een quasi MDM oplossing nodig om je eigen applications de verspreiden.
Op Windows RT en Phone kan je middels SCCM 2012 sideloaden. Je moet dan wel deze functie activeren middels een licentie in SCCM (je moet keys invoeren) en dan een connectie opzetten tussen de Windows RT en Phone apparaten met de SCCM infrastructuur.

Het is dus niet een feature die je "zo even" activeert. Tot op heden heb ik nog niets gelezen over WP 8(.1) dat je deze kan jailbreaking zoals een iPhone of zoals op Android iets als black market kan krijgen.
Op windows phone kan je ook even vlot een developer worden, gratis en je telefoon legit unlocken. Dat is echt geen moeite.
Dat is ook gewoon een 'legale' methode, gaat hier om de 'grijze' variant zoals de jailbreak of blackmarket.
Is dit niet eigenlijk een beetje alsof een artiest klaagt over dat zijn muziek op iTunes gewoon gekopieerd kan worden? Als iemand wil kan hij vrijwel altijd wel een weg vinden om niet te betalen.
Dat is denk ik nog niet eens zozeer het probleem, maar vooral dat het een beveiligingslek is. Als iemand je app zomaar kan downloaden en decompilen kan gevoelige informatie bloot liggen.

Misschien dat dit al kon hoor, maar ik ben er niet van op de hoogte hoe je een app op je telefoon kunt decompilen :)
Is dit niet eigenlijk een beetje alsof een artiest klaagt over dat zijn muziek op iTunes gewoon gekopieerd kan worden?
Vroeger was DRM op iTunes. Nu alleen nog een watermerk. En dat alles onder druk van gebruikers, tegen de wens van de industrie. Dus nu als developer lopen jammeren dat het niet versleuteld is en dat toch ohh zo erg is maakt hem wel een beetje een Don Quichot.
Oke, probeer nu eerst maar eens iets te sideloaden op WP8.1 zonder developers account. Zolang dat niet lukt (want dat lukt dus (nog) niet) zie ik hier niet zo'n probleem in. Natuurlijk het kan beter.

En dan kom je in dezelfde regio als waar Android in zit met zijn malware. Meeste is gewoon user-error. PEBKAC is weinig tegen te doen

[Reactie gewijzigd door batjes op 9 juli 2014 18:34]

Oke, probeer nu eerst maar eens iets te sideloaden op WP8.1 zonder developers account. Zolang dat niet lukt (want dat lukt dus (nog) niet) zie ik hier niet zo'n probleem in. Natuurlijk het kan beter.
Dat is niet helemaal eerlijk, want je kunt 'gratis' developer worden bij WP (er zit enige nuance in, maar daar gaat het nu niet om). En aangezien WP8.1 wereldwijd nog niet officieel is uitgerold zijn per definitie bijna alle WP8.1 gebruikers developers. Zonder developer account kun je je telefoon niet updaten naar 8.1 namelijk.
Het stelt ook niet zo veel voor om een dev account te hebben op WP nee. Maar dan moet je eerst iemands telefoon omzetten tot dev account en dan de meuk sideloaden. Beetje omslachtig.

Er is altijd wel een omweg zolang mensen die deur open willen laten staan. Microsoft wou die deur dicht hebben, op verzoek van veel gejank dat Android alleen om het sideloaden alleen al beter zou zijn. Zijn toen de deuren wagenwijd opgezet.

Jaar geleden mocht je nog dokken voor een dev account en lag daarom de misbruik drempel best hoog.

MS heeft veel mogelijk gemaakt met WP8.1 waar ik het niet mee eens ben om de jankerts tevreden te stellen.
Internet gebruik in background tasks hoef ik niet op een telefoon. Recorden van audio, video en foto's kan nu ook met background tasks.... bah, background troep hoeft niet veel te doen op een telefoon, het is een telefoon.

[Reactie gewijzigd door batjes op 10 juli 2014 17:06]

Hij zegt tot nu toe weinig feedback te hebben ontvangen na een posting op het XDA-forum.
Het maakt echt niemand wat uit :'). Hij kan het beter posten op de MS Community. Geheel logisch want het soort mensen wat een Windows Phone en Windows RT tablet koopt zit niet te wachten op Custom ROM's en weten ook voor een groot deel vast niet hoe je moet sideloaden. Verder zijn er ook veel minder Windows Phone en Windows RT apparaten verkocht. .

[Reactie gewijzigd door ChicaneBT op 9 juli 2014 17:03]

snicler is wel lief.....
op xdA is hij bezig met anderen de beveiliging van wp proberen te omzeilen maar zodra het risico loopt dat je de apps er on versleuteld er uit kunt halen en zo dus kunt installeren op andere toestellen loopt hij te janken.
vreemde reactie voor iemand die zelf wel de beveiliging probeert te omzeilen........
Ga jij later ook gratis voor een baas werken?
Kwestie van perceptie, uberitexpert heeft naar mijn idee gelijk. Sommige apps kosten 0,- tot 0,99. Ik heb daar geen problemen mee, maar als je apps langs ziet komen die gewoon 12,- kosten...

Zoals ik zei, een kwestie van perceptie, als het aan mij lag was er geen geld nodig in deze wereld.
Zijn we niet een beetje verwend aan het raken? Vroeger waren apps tientallen euros, maar omdat Apple een nieuwe trend heeft gezet gaan we nu zelfs apps van 3 euro (of zelfs van 12 euro) afkraken omdat ze te duur zijn?

Begrijp me niet verkeerd, ik vind het ook prettig als apps 0 tot goedkoop euro kosten, maar de reacties zoals uberitexpert en die van jou doen mij een beetje nee schudden. De devs doen ook maar hun best om jullie meer plezier in een mobiel te gunnen. Mogen ze dan een beetje krediet krijgen als ze klagen over het feit dat hun apps makkelijk te kopieren zijn, terwijl MS ze juist aan het aansporen zijn meer de ontwikkelen voor WM?
Apple bepaalt geen prijzen, geen idee waarom je denkt dat Apple een trend zou gezet hebben om apps aan enkele euros te verkopen... De developers bepalen wel degelijk de prijzen, net zoals ze dat doen op de 3 grote platformen.
Apple heeft wel degelijk een trend gezet door een app store te openen tijdens de 2de iphone en apps te laten verkopen voor 0.79 euro en 1.59 euro. Dat was uniek in die tijd (2008) dus ik vind het een beetje vreemd dat je zegt dat ze geen trend hebben gezet ermee. Google en jaren later MS zijn toen ook met een store gekomen met apps welke laag in prijs zitten.

En de devs bepaalde toen helemaal niet de prijzen. Apple heeft toen de devs geadviseerd deze prijzen (99 dollarcent en 1.99 dollar) te hanteren wat eerst voor de nodige tegenspraak heeft gezorgd, maar Apple stelde daar tegenover dat de apps goed zouden worden gepromoot in iTunes en voor de nodige omzet zou zorgen als de prijzen laag bleven. En zie daar.

beetje jammer dat ik dat hier op T.net moet gaan uitleggen hoe de apps en appstores zijn ontstaan. Sorry voor degene die niet van Apple houden, maar Apple heeft deze trend gezet.
Je kon als developer gewoon uit een hele rits prijzen kiezen. Niet enkel 99 dollar cent of 1.99 dollar. Ik weet nog dat in het begin "I Am Rich" uitkwam, welke 999.99 dollar koste. Want daar kon de developer ook uit kiezen.

De developer koos dus zelf voor de lagere prijzen.
De prijzen zijn dan vaak ook wel naar de 'kwaliteit' van de app, zeker in het begin waren de apps nog vrij eenvoudig en had je bijvoorbeeld geen rekening te houden met phone of tablet. En ook nu nog zijn de prijzen meestal wel redelijk goed toegespitst op wat de app echt inhoudelijk is, want het gros stelt simpelweg niet veel voor en zijn soms zelfs veredelde skins voor een website, de app doet zelf inhoudelijk heel weinig.

Maar een goede originele game of echte serieuze app kost vanzelfsprekend een stukje meer... de goede apps en games die 'gratis' zijn of heel weinig kosten hebben ook vaak nog andere belangen en verdienen dmv microtransacties of reclame inkomsten. Het ligt ook helemaal aan het model wat de ontwikkelaar hanteert en wat de concurrentie is... plus dat vele gebruikers zelf ook wel redelijk kunnen bepalen of een app wel het geld waard is en de meeste apps zijn ook echt niet veel meer waard dan een euro.
Inderdaad, vreemde reacties mbt software. Blijkbaar denken velen, een kromme perceptie, dat je voor software omdat het niet "tastbaar" is gratis moet zijn. Maar voor allerlei gadgets, auto, fiets, meubels, tv e.d. vinden wij normaal dat het geld mag kosten. De kleine ontwikkelaar(s) die voor de kost moeten verdienen moeten ook eten en de groten, de googles e.d. verkopen jouw gegevens en verdienen zo hun geld. Voor innovatie heb je gewoon geld nodig maar ook om te leven....

[Reactie gewijzigd door invic op 9 juli 2014 19:25]

Tja, zijn zat grote bedrijven die hun software gratis weg geven en toch dikke winst maken. Ik vind het probleem bij windows-phone nog vooral dat ja voor zo goed als alles moet betalen, simpele oplossing van veel developers ze maken een app met reclamen en een pro versie zonder reclame. Op die manier verdienen ze er altijd geld aan afhankelijk van het soort gebruiker, zo zorg je er ook voor dat een platform gebruiksvriendelijker wordt voor users.
12 euro voor een goede app is toch niet zoveel? Als je ziet wat sommige mensen voor bijvoorbeeld een CPU cooler uitgeven (meestal richting bedrijven die een veelvoud verdienen van wat een developer verdient) snap ik niet waarom er zo moeilijk wordt gedaan over softwareprijzen.
Iedereen die denkt dat Apps "Gratis" weggeven worden moet zich toch nog effe achter de oren krabben op het moment dat hij/zij de apps toegang geeft tot diverse bronnen op haar/zijn Tablet/Phone/PC.

Voor niets gaat de zon op
A wat dachten we van inApp reclame
B wat dachten we van Apps die data doorsturen naar derde partijen.
etc etc.

Ga dit maar eens kijken en kom dan nog eens terug dat Apps gratis zijn.
http://www.imdb.com/title/tt2084953/

[Reactie gewijzigd door hotrot648 op 9 juli 2014 19:59]

En dat zelfde geldt voor de apps waar je voor betaald. Deze verzamelen net zo veel data en deze data is veel geld waard. Je betaald in feite dubbel, met geld en met je gegevens. Mooi business model hoor.
Dus ? Als je mijn App geen 12 euro waard vind , dan gebruik je hem toch lekker niet ?

Ik ben niet voor niks aan het werk.
Als iedereen hem lekker niet gebruikt ben je inderdaad voor niets aan het werk.
Maar dat is een dev keuze.

Verkoop een app voor 12¤ en je verkoopt er 1.
Verkoop een app voor ,99¤ en verkoop er 10
Geef hem gratis weg en hoop op reclame inkomsten.
Dat de app daarna gratis wordt verspreid door een ander is niet goed. Zelfs de app met reclame wordt opnieuw verspreid zonder reclame.

Dan maar 1 keer verkopen en de winst pakken voor je je app gratis langs ziet fietsen en kan fluiten.
Dan maar, mijn app mijn strategie.
En toch zal men liever iets gratis vandaan halen dan $0,99 te betalen, dit geld voor apps maar op iOS bijv ook voor tweaks (jailbreak) waar het gewon een feit is dat 90% een tweak van een pirate repo haalt ipv er voor betaald (en mensen begin nou aub niet dat dit alleen op IOS gebeurd)
voor die 12 euro krijg je dan ook vaak een game als Final Fantasy die anders voor 40 euro in het ds schap zou liggen. Zit toch vaak een verschil tussen die 0,99 en 12 euro games.
De toekomst ligt in abonnementen en DLC, niet in upfront payment.

Het bedrag dat League of Legends is kwijtgeraakt door piraterij is ¤0,0.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True