Lỗ hổng bảo mật của BlackBerry trên AppWorld


397045

Như chúng ta đã biết, gần đây có một số vấn đề về AppWorld và tính chất bảo mật của nó. Điều chắc chắn ở đây là đã có một lỗ hổng cách đây khoảng chừng 3 năm, tuy nhiên BB chả mẩy may để ý và có vẻ như còn đang tự tin vào độ bảo mật của mình.

Sự việc không còn là điều bình thường nữa khi Sacha, một trong những cao thủ ẩn danh của BB với phần mềm Sachesi đã cho ra một công cụ giúp mọi người có thể tải ứng dụng Free từ AppWorld mà không cần thông qua nó từ máy BB.

Đây là topic mà Sacha đăng tải để tải các file bar từ app world cho mọi yêu cầu. Ngoài ra những dữ liệu mà Sacha lấy được có thể giúp người sử dụng chỉnh sửa app. Điều này dấy lên các nghi ngờ về 2 vấn đề.

http://forums.crackberry.com/blackberry-10-apps-f274/taking-requests-any-physical-bar-file-bbworld-967423/

+ Tính bảo mật của AppWorld và thể diện của một trong những biểu tượng sức mạnh của BB

+ Vi phạm bản quyền về sở hữu app của Sacha. Bởi vì anh ta có thể lấy app của người khác và chỉnh sửa để thành app khác 🙂

Về mặt thứ nhất mà nói, BlackBerry đã sở hở, chủ quan trong khâu sửa lỗi lỗ hổng này của BlackBerry App World. Mặc dù những cảnh báo đã xuất hiện cách đây 3 năm, nhưng lỗ hổng vẫn còn đó, cho đến khi Sacha “ra tay”.

Chính sự ngổ ngáo của Sacha đã mang lại hiệu quả ngay lập tức. BlackBerry đã tác động để gở trang web của Sacha, và đồng thời có những động thái để sửa chữa lại cơ sở hạ tầng.

Từ BlackBerry:

It was brought to our attention that a developer was in violation of the terms outlined in the BlackBerry vendor agreement. BlackBerry was alerted to the issue, and has since commenced a comprehensive investigation into the actions of this individual and the implications of his behavior. Based on our findings, BlackBerry has begun taking appropriate action with the support of our legal experts.

We regret that this individual’s behavior has impacted some of you in the developer community, but know that we are taking the proper steps to ensure you are protected from these and any future issues. We appreciate the feedback that you’ve provided on the forum, and we thank you for your support as we handle this matter.

Từ Sacha:

I am clearly performing no violation of the vendor agreement. I am not sure if you are referring to me in that statement.

However, if you are, I thank you for finally taking the matter seriously. Hopefully looking in to this will yield some promising results. Hopefully BlackBerry do not get in trouble for providing hot links to every application.

I will take my tool offline now that this issue has been noticed and BlackBerry has (apparently) reversed their policy.

Please do remember that my tool is essentially just running a single request on BBWorld and returning the result (as long as it isn’t a paid app). It does not distribute intellectual property from my server nor does it circumvent any security measures (there were none). Also, taking my tool offline does not in any way prevent, mitigate or remove the issue. The issue is still there and people are still using it. This is because it does not actually require a tool, I am not the first person to discover it and it has been an issue for a very long time.

Có thể thấy, Sacha không cố ý và cũng không phải là người đầu tiên phát hiện ra vấn đề này. Mà sự thật là vấn đề này tồn tại cũng đã lâu, có thể nhiều người đã phát hiện và tận dụng nó. Sacha cam kết sẽ gở trang Web xuống và tiết lộ rằng, web và phương thức của ông không hề vi phạm bản quyền và chỉ tác động đến các app free. Nếu Sacha không ra mắt một công cụ như vậy, sẽ không gây ra ồn ào trong giới lập trình BB app và tất nhiên BlackBerry cũng sẽ không để ý đến việc sửa lỗi cho lỗ hổng này.

Sacha còn nhấn mạnh, việc ông gỡ tool của mình xuống không phải là giải pháp của vần đề. Vấn đề vẫn nằm đó, và có thể người khác đang lợi dụng. BlackBerry phải làm việc để giải quyết nó.

Về phía BlackBerry, rõ ràng việc bị đánh vỗ mặt như vậy đã có tác động không nhỏ. Một đại diện của BlackBerry trên blog developer đã tiết lộ, BlackBerry đang có những động thái nghiêm chỉnh để giải quyết vấn đề.

#VinaBerry, tham khảo từ các developer và blogs.

Advertisements

Add your comments....

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất / Thay đổi )

Connecting to %s