AppGallery ļauj bez maksas lejupielādēt maksas lietotnes

Izstrādātājs no Francijas atklāja viņam nepatīkamu un daudziem citiem patīkamu Huawei ievainojamību

AppGallery.Pētot Ķīnas lietotņu veikala API, viņš atklāja, ka serveris klientam (neatkarīgi no tā, vai tā ir Huawei AppGallery lietotne vai persona, kas manuāli pieprasa datus) nodod saiti lietojumprogrammas lejupielādei neatkarīgi no tā, vai tā ir bezmaksas vai maksas, vai lietotājs to ir iegādājies vai nē. Šīs saites arī nesatur nekādu verifikāciju, un, noklikšķinot uz tām, varat lejupielādēt .apk failu pat tad, ja aplikācija nav iegādāta. Protams, jūs varat instalēt šo .apk failu un izmantot lietojumprogrammu tā, it kā jūs to būtu iegādājies.

Izstrādātājs, kurš atklāja problēmu, ziņoja par toHuawei atkal februāra vidū. Un viņš to izdarīja tieši tā, kā ieteicis uzņēmums - ar šifrētu e-pastu, pēc kā saņēma atbildi nešifrētas vēstules veidā, kurā bija oriģinālās vēstules teksts. Drošības neievērošana ar to neapstājās: uzņēmums lūdza nepublicēt informāciju 5 nedēļas, lai novērstu problēmu, taču to nenovērsa 5 nedēļu vai trīs mēnešu laikā un pārtrauca atbildēt uz izstrādātāja vēstulēm.

Pēc tam izstrādātājs publicēja informāciju parievainojamība, lai cik nepilnīga: viņš nenorādīja, kura API atgriež saites tik neprecīzi, un tās noteikšana ir visgrūtākais uzdevums. Tādējādi bez īpašām zināšanām ievainojamības izmantošana būs diezgan sarežģīta. Tomēr pat šāda ievainojamības daļēji publiskošana atstāja ietekmi uz Huawei: jau nākamajā dienā uzņēmums sāka izplatīt atjauninājumu ielāpu, solot procesu pabeigt līdz 25. maijam.

© Iļja Nerybovs.

Iegūts no https://evowizz.dev/