Bara timmar efter att Apple lanserat en ny webbaserad version av App Store publicerades hela sidans frontend-kod på GitHub. Detta sedan Apple glömt att stänga av så kallade sourcemaps i produktionsversionen av webbplatsen – en grundläggande säkerhetsmiss som gjorde det möjligt att ladda ned hela kodbasen direkt från den offentliga sajten.
Den nya webben för App Store lanserades med separata sidor för varje plattform, appkategori och sökfunktion. Kort därefter upptäckte GitHub-användaren rxliuli att Apples utvecklare hade lämnat spårfiler aktiva, vilket avslöjade all källkod för webbgränssnittet. Med hjälp av ett Chrome-tillägg kunde användaren hämta och spara hela kodstrukturen, som därefter lades upp på GitHub ”för utbildningsändamål”.
Arkivet innehåller komplett Svelte/TypeScript-kod, logik för tillståndshantering, UI-komponenter, API-integrationeroch routning – i princip hela Apples webbarkitektur för App Store.
Läckan
Läckan innebär inga direkta säkerhetsrisker för användare eller utvecklare, men den ses som en ovanlig miss från Apple, eftersom avstängning av sourcemaps i produktion är en av de mest grundläggande säkerhetsåtgärderna i webbutveckling.
Enligt rxliuli hämtades allt material från offentligt tillgängliga resurser via webbläsarens utvecklarverktyg och projektet är, enligt dem, endast avsett för forskning och lärande. Koden kan dock komma att tas bort snabbt, eftersom publiceringen sannolikt strider mot Apples upphovsrätt.
För den som är nyfiken på hur Apple byggt sin nya App Store-webb är det därför klokt att titta nu – innan materialet försvinner.
Läs mer
EU granskar Apples nya App Store-regler – utvecklare får säga sitt
Apple gör om App Store – utvecklare får större frihet i granskningen
