AppGallery pozwala pobierać płatne aplikacje za darmo

Deweloper z Francji odkrył nieprzyjemną dla niego – i przyjemną dla wielu innych – lukę w Huawei

Galeria aplikacji.Badając API chińskiego sklepu z aplikacjami, odkrył, że serwer przekazuje klientowi (niezależnie od tego, czy jest to aplikacja Huawei AppGallery, czy osoba ręcznie żądająca danych) link umożliwiający pobranie aplikacji, niezależnie od tego, czy jest ona bezpłatna czy płatna, czy użytkownik kupił go, czy nie. Linki te również nie zawierają żadnej weryfikacji, a klikając na nie można pobrać plik .apk, nawet jeśli aplikacja nie została zakupiona. Oczywiście możesz zainstalować ten plik .apk i korzystać z aplikacji tak, jakbyś ją kupił.

Deweloper, który wykrył problem, zgłosił goHuawei z powrotem w połowie lutego. I zrobił to dokładnie zgodnie z zaleceniami firmy - zaszyfrowanym e-mailem, po czym otrzymał odpowiedź w postaci niezaszyfrowanego listu zawierającego tekst oryginalnego listu. Lekceważenie bezpieczeństwa na tym się nie skończyło: firma poprosiła o niepublikowanie informacji przez 5 tygodni w celu rozwiązania problemu, ale nie naprawiła tego w 5 lub 3 miesiące i przestała odpowiadać na listy dewelopera.

Następnie deweloper opublikował informacje opodatność, jednak niekompletna: nie sprecyzował, które API tak nieprecyzyjnie zwraca linki, a jego wykrycie jest najtrudniejszym zadaniem. W związku z tym bez specjalnej wiedzy wykorzystanie luki będzie dość trudne. Jednak nawet taka połowiczna publikacja luki wpłynęła na Huawei: już następnego dnia firma zaczęła rozpowszechniać łatkę aktualizacyjną, obiecując zakończenie procesu do 25 maja.

    © Ilja Nerybow.

    Pochodzi z https://evowizz.dev/