Met AppGallery kun je gratis betaalde apps downloaden

Een ontwikkelaar uit Frankrijk ontdekte een voor hem – en voor vele anderen plezierige – kwetsbaarheid in Huawei

AppGalerij.Tijdens zijn onderzoek naar de Chinese app store API ontdekte hij dat de server een link doorgeeft aan de client (of het nu een Huawei AppGallery-app is of een persoon die handmatig gegevens opvraagt) om de applicatie te downloaden, ongeacht of deze gratis of betaald is, of de gebruiker heeft het gekocht of niet. Deze links bevatten ook geen enkele verificatie en door erop te klikken kunt u het .apk-bestand downloaden, zelfs als de applicatie niet is aangeschaft. Uiteraard kunt u dit .apk-bestand installeren en de applicatie gebruiken alsof u deze heeft aangeschaft.

De ontwikkelaar die het probleem ontdekte, heeft het gemeldHuawei terug medio februari. En hij deed het precies zoals aanbevolen door het bedrijf - per versleutelde e-mail, waarna hij een reactie kreeg in de vorm van een onversleutelde brief met daarin de tekst van de originele brief. De veronachtzaming van veiligheid hield daar niet op: het bedrijf vroeg om gedurende 5 weken geen informatie te publiceren om het probleem op te lossen, maar loste het niet binnen 5 weken of drie maanden op en reageerde niet meer op de brieven van de ontwikkelaar.

Daarna publiceerde de ontwikkelaar informatie over:kwetsbaarheid, hoe onvolledig: hij specificeerde niet welke API links zo onnauwkeurig terugstuurt, en de detectie ervan is de moeilijkste taak. Zonder speciale kennis zal het misbruiken van de kwetsbaarheid dus behoorlijk moeilijk zijn. Zelfs zo'n semi-publicatie van de kwetsbaarheid had echter effect op Huawei: de volgende dag begon het bedrijf de update-patch te verspreiden, met de belofte het proces tegen 25 mei te voltooien.

© Ilja Nerybov.

Afkomstig van https://evowizz.dev/