Как Windows Store может вас обмануть

табличка открытого магазина

Большинство экспертов по безопасности согласны, что различные хранилища приложений полезны для защиты операционных систем от вредоносных программ. Windows Store может привести к созданию более безопасной среды, но есть несколько способов которыми разработчики могут использовать магазин для компрометации пользователей.

Так например приложение под названием Torrenty из Windows Store содержало гиперссылку, которая должна была обеспечить обновление приложения. Когда пользователь нажимал на ссылку обновления открывался браузер по умолчанию и загружал файл setup.exe. Для ничего не подозревающего пользователя это может показаться подлинным обновлением для приложения, вот только файл устанавливал клиент win32 BitTorrent. А ведь могло быть и намного хуже.

Torrenty - это приложение для универсальной платформы Windows (UWP), и ему нужно было бы пройти процесс утверждения Microsoft до его публикации в магазине. Гиперссылка, которая обманывала пользователей, должна была быть проверена, но процесс утверждения Microsoft для приложения не выявил никаких проблем. Возможность запуска гиперссылок из приложений UWP обеспечивает простой способ для разработчиков вырваться из изолированной программной платформы приложения и обмануть пользователей с целью установки дополнительного программного обеспечения или запуска других видов атак.

Хостинг и прогрессивные веб-приложения

На случае с Torrenty история не заканчивается. Приложения win32, перенесенные в магазин с помощью Microsoft Desktop Bridge и UWP-приложений, являются наиболее распространенными видами в магазине. Hosted Web Apps (HWA), которые запускаются с сервера разработчика, были представлены в Windows 10 как альтернатива упакованным веб-приложениям. Поскольку разработчики могут вносить изменения в код HWA на своем собственном сервере, нет необходимости в представлении магазина для каждого обновления приложения. Эти приложения также могут использовать универсальные функции Windows Platform, такие как возможность автономной работы, push-уведомления и живые фрагменты.

HWA предоставляют разработчикам удобный способ загрузки своих приложений в магазин и обновления их. Но поскольку HWA не нужно утверждать каждый раз, когда разработчики вносят изменения, всегда существует вероятность того, что обновление может привести к нежелательным функциям или что сервер, на котором размещено приложение, может быть взломан.

Microsoft также планирует внедрить поддержку Progressive Web Apps (PWA) в Windows Store в будущей версии Windows 10. PWA похожи на HWA, но поддерживают набор стандартов HTML5, которые размывают границы между веб-приложениями и локально установленным программным обеспечением. В отличие от того, как Google Chrome позволяет пользователям запускать PWA, Microsoft потребует от пользователей установки PWA из Windows Store.

Блокировка ненадежных приложений для Windows Store

Магазины приложений - хорошая идея, и вы даже можете создать свой собственный частный магазин, используя Windows Store for Business. Но если вы хотите быть уверенным, что Windows остается в безопасности в вашей организации, лучше использовать белый список приложений, чтобы ограничить круг приложений которые могут запускаться либо полностью блокировать доступ к публичному магазину.

Microsoft удалила возможность блокировать доступ к хранилищу Windows с помощью параметра групповой политики в Windows 10 Professional версии 1511. Приложение магазина все еще может быть заблокировано в Windows 10 Enterprise и учебных пакетах с помощью AppLocker или путем включения политики групповой политики «Отключить хранилище» в разделе: Конфигурация компьютера => Административные шаблоны => Компоненты Windows => Сохранить.

Если вы не хотите блокировать доступ к Windows Store, но хотите контролировать, какие приложения могут запускаться, создайте белый список AppLocker одобренных приложений. Не забывайте, что Windows 10 включает в себя некоторые приложения Windows Store по умолчанию, например «Microsoft Edge», поэтому вам нужно будет проверить, какие приложения установлены в вашей системе по умолчанию и включить их в свой белый список.

Риски, связанные с приложениями Windows Store, также могут быть уменьшены за счет включения AppLocker или Device Guard для обеспечения использования белого списка доверенных приложений win32, скриптов и файлов установщика Windows. AppLocker и Device Guard доступны только в Enterprise и Education Windows 10.

Обновление для разработчиков Windows 10 включает в себя настройку, которая запрещает пользователям устанавливать приложения из Windows Store. Вы можете включить этот параметр, включив Configure App install Control в групповой политике. Этот параметр может управляться пользователями с правами администратора, если он не был настроен с помощью групповой политики.