AppGallery ви позволява да изтегляте платени приложения безплатно

Разработчик от Франция откри неприятна за него - и приятна за много други - уязвимост в Huawei

AppGallery.Докато проучваше API на китайския магазин за приложения, той откри, че сървърът предава на клиента (независимо дали е приложение Huawei AppGallery или лице, което ръчно изисква данни) връзка за изтегляне на приложението, независимо дали е безплатно или платено, дали потребителят го е закупил или не. Тези връзки също не съдържат никаква проверка и като щракнете върху тях можете да изтеглите .apk файла, дори ако приложението не е закупено. Разбира се, можете да инсталирате този .apk файл и да използвате приложението, сякаш сте го закупили.

Разработчикът, който е открил проблема, го съобщиHuawei обратно в средата на февруари. И го направи точно според препоръките на компанията – чрез криптиран имейл, след което получи отговор под формата на некриптирано писмо, съдържащо текста на оригиналното писмо. Пренебрегването на сигурността не спря дотук: компанията поиска да не публикува информация в продължение на 5 седмици, за да отстрани проблема, но не го отстрани за 5 седмици или три месеца и спря да отговаря на писмата на разработчика.

След това разработчикът публикува информация зауязвимост, колкото и да е непълна: той не посочи кой API връща връзките толкова неточно, а откриването му е най-трудната задача. По този начин, без специални познания, използването на уязвимостта ще бъде доста трудно. Въпреки това, дори такова полупубликуване на уязвимостта имаше ефект върху Huawei: още на следващия ден компанията започна да разпространява актуализацията, обещавайки да завърши процеса до 25 май.

    © Иля Нерибов.

    Източник от https://evowizz.dev/