AppGalleryを使用すると、有料アプリを無料でダウンロードできます

フランスの開発者は、ファーウェイに彼にとって不快な脆弱性、そして他の多くの人にとっては喜ばしい脆弱性を発見しました

アプリギャラリー。中国のアプリストア API を調査しているときに、無料か有料かに関係なく、サーバーがクライアント (Huawei AppGallery アプリであろうと、手動でデータを要求するユーザーであろうと) にアプリケーションをダウンロードするためのリンクを渡すことを発見しました。ユーザーがそれを購入したかどうか。これらのリンクには検証が含まれていないため、アプリケーションが購入されていない場合でも、リンクをクリックすると .apk ファイルをダウンロードできます。もちろん、この .apk ファイルをインストールすると、アプリケーションを購入したかのように使用できます。

問題を発見した開発者が報告しましたHuaweiは2月中旬に戻ってきました。そして、彼は会社が推奨するとおりに、暗号化された電子メールでそれを実行しました。その後、元の手紙のテキストを含む暗号化されていない手紙の形で応答を受け取りました。セキュリティの無視はそれだけではありませんでした。会社は問題を解決するために5週間情報を公開しないように求めましたが、5週間または3か月で修正せず、開発者の手紙への返答を停止しました。

その後、開発者はに関する情報を公開しました脆弱性はありますが、不完全です。彼は、どのAPIがリンクを返すかをそれほど不正確に指定していませんでした。その検出は、最も難しいタスクです。したがって、特別な知識がなければ、脆弱性を悪用することは非常に困難です。しかし、このような脆弱性の半公開でさえ、Huaweiに影響を及ぼしました。翌日、同社はアップデートパッチの配布を開始し、5月25日までにプロセスを完了することを約束しました。

    ©イリヤ・ネリボフ。

    https://evowizz.dev/から供給