Mit AppGallery können Sie kostenpflichtige Apps kostenlos herunterladen

Ein Entwickler aus Frankreich entdeckte eine für ihn unangenehme und für viele andere angenehme Schwachstelle in Huawei

AppGallery.Bei der Recherche zur chinesischen App-Store-API entdeckte er, dass der Server dem Client (sei es eine Huawei AppGallery-App oder eine Person, die manuell Daten anfordert) einen Link zum Herunterladen der Anwendung übergibt, unabhängig davon, ob diese kostenlos oder kostenpflichtig ist ob der Benutzer es gekauft hat oder nicht. Auch diese Links enthalten keine Verifizierung, und wenn Sie darauf klicken, können Sie die APK-Datei herunterladen, auch wenn die Anwendung nicht gekauft wurde. Natürlich können Sie diese APK-Datei installieren und die Anwendung so verwenden, als hätten Sie sie gekauft.

Der Entwickler, der das Problem entdeckt hat, hat es gemeldetHuawei Mitte Februar zurück. Und er tat es genau wie vom Unternehmen empfohlen - per verschlüsselter E-Mail, woraufhin er eine Antwort in Form eines unverschlüsselten Briefes erhielt, der den Text des ursprünglichen Schreibens enthielt. Die Missachtung der Sicherheit hörte hier nicht auf: Das Unternehmen bat darum, fünf Wochen lang keine Informationen zu veröffentlichen, um das Problem zu beheben, behob es jedoch nicht innerhalb von fünf Wochen oder drei Monaten und reagierte nicht mehr auf die Schreiben des Entwicklers.

Danach veröffentlichte der Entwickler Informationen überSicherheitslücke, jedoch unvollständig: Er hat nicht angegeben, welche API Links so ungenau zurückgibt, und ihre Erkennung ist die schwierigste Aufgabe. Daher wird es ohne spezielle Kenntnisse ziemlich schwierig sein, die Schwachstelle auszunutzen. Doch auch eine solche Halbveröffentlichung der Schwachstelle wirkte sich auf Huawei aus: Bereits am nächsten Tag begann das Unternehmen mit der Verteilung des Update-Patches und versprach, den Prozess bis zum 25. Mai abzuschließen.

© Ilja Nerybow.

Quelle: https://evowizz.dev/