AppGallery vám umožňuje stahovat placené aplikace zdarma

Vývojář z Francie pro něj – a pro mnohé další příjemnou – objevil v Huawei nepříjemnou zranitelnost

AppGallery.Při zkoumání API čínského obchodu s aplikacemi zjistil, že server předává klientovi (ať už se jedná o aplikaci Huawei AppGallery nebo osobu ručně požadující data) odkaz ke stažení aplikace, bez ohledu na to, zda je bezplatná nebo placená, zda uživatel jej zakoupil nebo ne. Tyto odkazy také neobsahují žádné ověření a kliknutím na ně si můžete stáhnout soubor .apk, i když aplikace není zakoupena. Tento .apk soubor si samozřejmě můžete nainstalovat a používat aplikaci, jako byste si ji zakoupili.

Vývojář, který problém objevil, jej nahlásilHuawei zpět v polovině února. A udělal to přesně podle doporučení společnosti – šifrovaným e-mailem, načež mu přišla odpověď v podobě nezašifrovaného dopisu obsahujícího text původního dopisu. Ignorování bezpečnosti tím neskončilo: společnost požádala, aby nezveřejňovala informace po dobu 5 týdnů, aby problém napravila, ale neopravila to do 5 týdnů nebo tří měsíců a přestala reagovat na dopisy vývojáře.

Poté vývojář zveřejnil informace ozranitelnost, jakkoli neúplná: neupřesnil, které API vrací odkazy tak nepřesně a jeho detekce je nejobtížnější úkol. Bez speciálních znalostí bude tedy zneužití zranitelnosti poměrně obtížné. I takové polozveřejnění zranitelnosti však mělo na Huawei vliv: hned druhý den začala společnost distribuovat aktualizační patch a slíbila, že proces dokončí do 25. května.

© Ilja Nerybov.

Zdroj: https://evowizz.dev/