Deutlich sicherer als bei vergleichbaren Angeboten wie Google Play, aber...

...ein Dreck gegen die Windows Store prüfung. MS weiss nämlich wie man sowas wirklich testet. Kleiner Tipp: nicht nur Clientseitig beim Compilieren, erfolgt nur ein Zugriff außerhalb der erlaubten APIs, kommt die Software sowieso nicht durch...

Mal davon abgesehen, dass das auch Google und Apple machen und Microsoft einfach wegen diese leeren Stores kein attraktives Ziel darstellt: Was hätte das denn bei diesem Angriff gebracht? Wie kannst du auschließen, ob die chinesische Store-Version von Microsoft nicht auf die selbe Weise anfällig ist?

Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

xmaniac schrieb:
--------------------------------------------------------------------------------
> ...ein Dreck gegen die Windows Store prüfung.

Ach deshalb! Die Prüfung im Windows Store ist einfach so streng, dass es fast keine Apps dort gibt. ^^

xmaniac schrieb:
--------------------------------------------------------------------------------
> ...ein Dreck gegen die Windows Store prüfung. MS weiss nämlich wie man
> sowas wirklich testet. Kleiner Tipp: nicht nur Clientseitig beim
> Compilieren, erfolgt nur ein Zugriff außerhalb der erlaubten APIs, kommt
> die Software sowieso nicht durch...

Copycat apps and obvious scams in the iTunes App Store and Google Play are obnoxious, but they may have nothing on Microsoft's Windows Store. A tech website has accused the Windows Store of being full of unmitigated garbage that could cost you money and possibly even system security, and blames the problem on Microsoft's own desire to quickly populate its app store.

Die Malware um die es hier geht, hat aber auch nur erlaubte APIs genutzt. Wie wäre die jetzt deiner Meinung nach im Windows Store bei der Prüfung aufgefallen?

Netspy schrieb:
--------------------------------------------------------------------------------
> Die Malware um die es hier geht, hat aber auch nur erlaubte APIs genutzt.
> Wie wäre die jetzt deiner Meinung nach im Windows Store bei der Prüfung
> aufgefallen?

Das hätte im Windows Store deswegen nichts gebracht, weil die erlaubten APIs bei Windows Phone sicher sind. Damit kannst du nicht wie bei iOS oder Android eine Spionagesoftware bauen - deswegen fällt es entweder auf, oder die entsprechende Software kann nicht heimlich spionieren. Such dir einen von beiden Fällen aus. Wenn du schon mit den erlaubten APIs wie bei iOS oder Android jede menge scheisse im System bauen kannst, nutzt es dir natürlich nichts wenn nur erlaubte APIs benutzt werden, das hast du schon richtig erkannt.

xmaniac schrieb:
--------------------------------------------------------------------------------
> Netspy schrieb:
> ---------------------------------------------------------------------------
> -----
> > Die Malware um die es hier geht, hat aber auch nur erlaubte APIs
> genutzt.
> > Wie wäre die jetzt deiner Meinung nach im Windows Store bei der Prüfung
> > aufgefallen?
>
> Das hätte im Windows Store deswegen nichts gebracht, weil die erlaubten
> APIs bei Windows Phone sicher sind. Damit kannst du nicht wie bei iOS oder
> Android eine Spionagesoftware bauen - deswegen fällt es entweder auf, oder
> die entsprechende Software kann nicht heimlich spionieren. Such dir einen
> von beiden Fällen aus. Wenn du schon mit den erlaubten APIs wie bei iOS
> oder Android jede menge scheisse im System bauen kannst, nutzt es dir
> natürlich nichts wenn nur erlaubte APIs benutzt werden, das hast du schon
> richtig erkannt.

Kannst du das mal für iOS erläutern? Wo ist das sandboxing der Apps unzureichend und mit welchen offiziellen APIs kann man Mist im System bauen?

xmaniac schrieb:
--------------------------------------------------------------------------------
> Das hätte im Windows Store deswegen nichts gebracht, weil die erlaubten
> APIs bei Windows Phone sicher sind.

https://www.blackhat.com/docs/ldn-15/materials/london-15-DeFulgentis-Witchcraft-For-Windows-Phone-Breakers.pdf

“In our experience, WP apps are widely vulnerable to Client Side Injections”

“Basically it is possible to replace pre-installed binaries located into the SD card - The OS will not perform any code integrity check post-replacement”

“Attacking Apps Data Confidentiality - (almost) all your sandboxed data are belong to me”

… sieht für mich ungefähr so aus wie das Sicherheitsniveau von iOS 3, anno 2010. Ist ja aber auch erst Microsofts dritte Version, passt also ungefähr ;)

>Das hätte im Windows Store deswegen nichts gebracht, weil die erlaubten APIs bei Windows Phone sicher sind.

Ach und das soll bei Apple oder Google anders sein? Schwachsinn.

>Damit kannst du nicht wie bei iOS oder Android eine Spionagesoftware bauen - deswegen fällt es entweder auf, oder die entsprechende Software kann nicht heimlich spionieren. Such dir einen von beiden Fällen aus. Wenn du schon mit den erlaubten APIs wie bei iOS oder Android jede menge scheisse im System bauen kannst, nutzt es dir natürlich nichts wenn nur erlaubte APIs benutzt werden, das hast du schon richtig erkannt.

Kannst Du eben nicht. Meine Güte, lest euch doch den Artikel einfach mal durch, bevor Ihr einfach drauflos ins Blaue spekuliert. Es wurden keinerlei sensible Daten über die API abgegriffen. Es handelt sich hier um eine phishing Attacke, den Apps wurde Schadcode hinzugefügt, der gefakte Popups mit Benutzernamen und Passwortabfrage aufgerufen hat, um diese abzugreifen - dazu muss man weder aus der Sandbox ausbrechen, noch irgendwelche Datenschutzrichtlinien umgehen - und das wäre auf einem Win-Phone exakt genau so möglich gewesen.