AppGallery lar deg laste ned betalte apper gratis

En utvikler fra Frankrike oppdaget en ubehagelig sårbarhet for ham – og hyggelig for mange andre – i Huawei

AppGallery.Mens han undersøkte den kinesiske appbutikkens API, oppdaget han at serveren sender til klienten (enten det er en Huawei AppGallery-app eller en person som manuelt ber om data) en lenke for å laste ned applikasjonen, uavhengig av om den er gratis eller betalt, enten brukeren har kjøpt den eller ikke. Disse lenkene inneholder heller ingen bekreftelse, og ved å klikke på dem kan du laste ned .apk-filen, selv om applikasjonen ikke er kjøpt. Selvfølgelig kan du installere denne .apk-filen og bruke applikasjonen som om du hadde kjøpt den.

Utvikleren som oppdaget problemet rapporterte detHuawei tilbake i midten av februar. Og han gjorde det akkurat som anbefalt av selskapet - via kryptert e-post, hvoretter han fikk svar i form av et ukryptert brev som inneholdt teksten til det originale brevet. Tilsidesettelsen av sikkerhet stoppet ikke der: Selskapet ba om å ikke publisere informasjon på 5 uker for å fikse problemet, men fikset det ikke på 5 uker eller tre måneder, og sluttet å svare på utviklerens brev.

Etter det publiserte utvikleren informasjon omsårbarhet, uansett hvor ufullstendig: han spesifiserte ikke hvilke API som returnerer koblinger så unøyaktig, og dets deteksjon er den vanskeligste oppgaven. Uten spesiell kunnskap vil det derfor være ganske vanskelig å utnytte sårbarheten. Selv en slik semi-publisering av sårbarheten hadde imidlertid en effekt på Huawei: Allerede dagen etter begynte selskapet å distribuere oppdateringsoppdateringen, og lovet å fullføre prosessen innen 25. mai.

    © Ilya Nerybov.

    Hentet fra https://evowizz.dev/