AppGallery vă permite să descărcați gratuit aplicații plătite

Un dezvoltator din Franța a descoperit o vulnerabilitate neplăcută pentru el – și plăcută pentru mulți alții – în Huawei

AppGallery.În timp ce cerceta API-ul magazinului de aplicații din China, el a descoperit că serverul transmite clientului (fie că este o aplicație Huawei AppGallery sau o persoană care solicită manual date) un link pentru a descărca aplicația, indiferent dacă este gratuită sau plătită, dacă este utilizatorul l-a cumpărat sau nu. De asemenea, aceste link-uri nu conțin nicio verificare, iar făcând clic pe ele puteți descărca fișierul .apk, chiar dacă aplicația nu a fost achiziționată. Desigur, puteți instala acest fișier .apk și puteți utiliza aplicația ca și cum ați fi achiziționat-o.

Dezvoltatorul care a descoperit problema a raportat-oHuawei la mijlocul lunii februarie. Și a făcut-o exact așa cum a recomandat companiei - prin e-mail criptat, după care a primit un răspuns sub forma unei scrisori necriptate care conținea textul scrisorii originale. Nerespectarea securității nu s-a oprit aici: compania a cerut să nu publice informații timp de 5 săptămâni pentru a remedia problema, dar nu a remediat-o în 5 săptămâni sau trei luni și a încetat să răspundă la scrisorile dezvoltatorului.

După aceea, dezvoltatorul a publicat informații desprevulnerabilitate, oricât de incompletă: el nu a specificat care API returnează link-uri atât de inexacte, iar detectarea acesteia este cea mai dificilă sarcină. Astfel, fără cunoștințe speciale, exploatarea vulnerabilității va fi destul de dificilă. Cu toate acestea, chiar și o astfel de semipublicare a vulnerabilității a avut un efect asupra Huawei: chiar a doua zi, compania a început să distribuie patch-ul de actualizare, promițând că va finaliza procesul până pe 25 mai.

    © Ilia Nerybov.

    Sursă de la https://evowizz.dev/