AppGallery vám umožňuje sťahovať platené aplikácie zadarmo

Vývojár z Francúzska objavil pre neho – a pre mnohých ďalších príjemnú – v Huawei nepríjemnú zraniteľnosť

AppGallery.Pri skúmaní API čínskeho obchodu s aplikáciami zistil, že server odovzdá klientovi (či už je to aplikácia Huawei AppGallery alebo osoba, ktorá manuálne požaduje údaje) odkaz na stiahnutie aplikácie, bez ohľadu na to, či je bezplatná alebo platená, či používateľ si ho kúpil alebo nie. Tieto odkazy tiež neobsahujú žiadne overenie a kliknutím na ne si môžete stiahnuť súbor .apk, aj keď aplikácia nebola zakúpená. Tento .apk súbor si samozrejme môžete nainštalovať a aplikáciu používať tak, ako keby ste si ju kúpili.

Vývojár, ktorý problém objavil, ho nahlásilHuawei späť v polovici februára. A urobil to presne tak, ako mu spoločnosť odporučila – zašifrovaným e-mailom, po ktorom mu prišla odpoveď v podobe nezašifrovaného listu s textom pôvodného listu. Nerešpektovanie bezpečnosti sa tým neskončilo: spoločnosť požiadala, aby nezverejňovala informácie počas 5 týždňov na vyriešenie problému, ale neodstránila to do 5 týždňov alebo troch mesiacov a prestala reagovať na listy vývojára.

Potom vývojár zverejnil informácie ozraniteľnosť, akokoľvek neúplná: nešpecifikoval, ktoré API vracia odkazy tak nepresne a jeho detekcia je najťažšia úloha. Bez špeciálnych znalostí bude teda zneužitie zraniteľnosti dosť ťažké. Aj takéto polozverejnenie zraniteľnosti však malo na Huawei vplyv: hneď na druhý deň spoločnosť začala distribuovať aktualizačnú opravu, pričom sľúbila, že proces dokončí do 25. mája.

    © Iľja Nerybov.

    Zdroj: https://evowizz.dev/