AppGallery를 사용하면 유료 앱을 무료로 다운로드할 수 있습니다.

프랑스의 한 개발자는 화웨이에서 자신에게는 불쾌한 취약점을 발견했고 다른 많은 사람들에게는 기분 좋은 취약점을 발견했습니다.

앱갤러리.중국 앱 스토어 API를 조사하는 동안 그는 무료인지 유료인지 여부에 관계없이 서버가 클라이언트(Huawei AppGallery 앱이든 수동으로 데이터를 요청하는 사람이든)에게 애플리케이션을 다운로드할 수 있는 링크를 전달한다는 사실을 발견했습니다. 사용자가 구매했는지 여부. 이 링크에는 확인 내용도 포함되어 있지 않으며 해당 링크를 클릭하면 애플리케이션을 구입하지 않은 경우에도 .apk 파일을 다운로드할 수 있습니다. 물론, 이 .apk 파일을 설치하여 마치 구매한 것처럼 애플리케이션을 사용할 수 있습니다.

문제를 발견한 개발자가 보고했습니다.화웨이는 2월 중순에 돌아왔다. 그리고 그는 회사에서 권장하는 대로 암호화된 전자 메일로 정확히 수행한 후 원본 편지의 텍스트가 포함된 암호화되지 않은 편지 형식으로 응답을 받았습니다. 보안에 대한 무시는 여기서 그치지 않았다. 회사는 문제 해결을 위해 5주간 정보 공개를 자제해달라고 요청했지만 5~3개월이 지나도록 수정하지 않고 개발자의 편지에 답장을 하지 않았다.

그 후 개발자는 에 대한 정보를 게시했습니다.그러나 불완전한 취약점: 그는 어떤 API가 링크를 그렇게 부정확하게 반환하는지 지정하지 않았으며 탐지가 가장 어려운 작업입니다. 따라서 특별한 지식 없이는 취약점을 악용하는 것은 매우 어려울 것입니다. 그러나 이러한 취약점의 반 공개조차도 Huawei에 영향을 미쳤습니다. 바로 다음 날 회사는 업데이트 패치를 배포하기 시작하여 5월 25일까지 프로세스를 완료하겠다고 약속했습니다.

© 일리아 네리보프.

출처 https://evowizz.dev/