Ranskalainen kehittäjä löysi itselleen epämiellyttävän haavoittuvuuden - ja miellyttävän monille muille - Huaweista
Ongelman havainnut kehittäjä ilmoitti siitäHuawei takaisin helmikuun puolivälissä. Ja hän teki sen täsmälleen yrityksen suosittelemalla tavalla - salatulla sähköpostilla, jonka jälkeen hän sai vastauksen salaamattomana kirjeenä, joka sisälsi alkuperäisen kirjeen tekstin. Turvallisuuden piittaamattomuus ei pysähtynyt tähän: yritys pyysi olla julkaisematta tietoja 5 viikkoon ongelman korjaamiseksi, mutta ei korjannut sitä 5 viikossa tai kolmessa kuukaudessa, ja lopetti vastaamisen kehittäjän kirjeisiin.
Sen jälkeen kehittäjä julkaisi tietojahaavoittuvuus, vaikka se olisikin epätäydellinen: hän ei täsmentänyt, mikä API palauttaa linkit niin epätarkasti, ja sen havaitseminen on vaikein tehtävä. Ilman erityisosaamista haavoittuvuuden hyödyntäminen on siis melko vaikeaa. Kuitenkin jopa tällainen haavoittuvuuden puolijulkaiseminen vaikutti Huaweihin: jo seuraavana päivänä yritys alkoi jakaa päivityskorjausta lupaamalla saattaa prosessin päätökseen 25. toukokuuta mennessä.
© Ilja Nerybov.
Lähde: https://evowizz.dev/