Vývojár z Francúzska objavil pre neho – a pre mnohých ďalších príjemnú – v Huawei nepríjemnú zraniteľnosť
Vývojár, ktorý problém objavil, ho nahlásilHuawei späť v polovici februára. A urobil to presne tak, ako mu spoločnosť odporučila – zašifrovaným e-mailom, po ktorom mu prišla odpoveď v podobe nezašifrovaného listu s textom pôvodného listu. Nerešpektovanie bezpečnosti sa tým neskončilo: spoločnosť požiadala, aby nezverejňovala informácie počas 5 týždňov na vyriešenie problému, ale neodstránila to do 5 týždňov alebo troch mesiacov a prestala reagovať na listy vývojára.
Potom vývojár zverejnil informácie ozraniteľnosť, akokoľvek neúplná: nešpecifikoval, ktoré API vracia odkazy tak nepresne a jeho detekcia je najťažšia úloha. Bez špeciálnych znalostí bude teda zneužitie zraniteľnosti dosť ťažké. Aj takéto polozverejnenie zraniteľnosti však malo na Huawei vplyv: hneď na druhý deň spoločnosť začala distribuovať aktualizačnú opravu, pričom sľúbila, že proces dokončí do 25. mája.
© Iľja Nerybov.
Zdroj: https://evowizz.dev/