AppGallery vous permet de télécharger gratuitement des applications payantes

Un développeur français a découvert une vulnérabilité désagréable pour lui - et agréable pour beaucoup d'autres - chez Huawei

Galerie d'applications.En recherchant l'API de l'App Store chinois, il a découvert que le serveur transmet au client (qu'il s'agisse d'une application Huawei AppGallery ou d'une personne demandant manuellement des données) un lien pour télécharger l'application, qu'elle soit gratuite ou payante, qu'elle soit ou non. l'utilisateur l'a acheté ou non. Ces liens ne contiennent également aucune vérification et en cliquant dessus, vous pouvez télécharger le fichier .apk, même si l'application n'a pas été achetée. Bien entendu, vous pouvez installer ce fichier .apk et utiliser l’application comme si vous l’aviez achetée.

Le développeur qui a découvert le problème l'a signaléHuawei de retour mi-février. Et il l'a fait exactement comme recommandé par l'entreprise - par e-mail crypté, après quoi il a reçu une réponse sous la forme d'une lettre non cryptée contenant le texte de la lettre originale. Le mépris de la sécurité ne s'est pas arrêté là : l'entreprise a demandé de ne pas publier d'informations pendant 5 semaines pour résoudre le problème, mais ne l'a pas résolu en 5 semaines ou trois mois, et a cessé de répondre aux lettres du développeur.

Après cela, le développeur a publié des informations survulnérabilité, cependant incomplète: il n'a pas précisé quelle API renvoie les liens de manière si imprécise, et sa détection est la tâche la plus difficile. Ainsi, sans connaissances particulières, exploiter la vulnérabilité sera assez difficile. Cependant, même une telle semi-publication de la vulnérabilité a eu un effet sur Huawei : dès le lendemain, la société a commencé à distribuer le correctif de mise à jour, promettant de terminer le processus d'ici le 25 mai.

    © Ilya Nerybov.

    Extrait de https://evowizz.dev/