АппГаллери вам омогућава бесплатно преузимање плаћених апликација

Програмер из Француске открио је неугодну рањивост за њега - и пријатну за многе друге - у Хуавеи

АппГаллери.Истражујући АПИ продавнице кинеских апликација, открио је да сервер клијенту (било да се ради о апликацији Хуавеи АппГаллери или особи која ручно захтева податке) преноси везу за преузимање апликације, без обзира да ли је бесплатна или плаћена, да ли је корисник је купио или не. Ови линкови такође не садрже никакву верификацију, а кликом на њих можете преузети .апк датотеку, чак и ако апликација није купљена. Наравно, можете инсталирати ову .апк датотеку и користити апликацију као да сте је купили.

Програмер који је открио проблем га је пријавиоХуавеи средином фебруара. И урадио је то управо онако како је компанија препоручила – шифрованом мејлом, након чега је добио одговор у виду нешифрованог писма у коме се налази текст оригиналног писма. Занемаривање безбедности није ту престало: компанија је тражила да не објављује информације 5 недеља како би решила проблем, али није га решила за 5 недеља или три месеца, и престала је да одговара на писма програмера.

Након тога, програмер је објавио информације орањивост, ма колико непотпуна: није прецизирао који АПИ тако нетачно враћа везе, а његово откривање је најтежи задатак. Дакле, без посебног знања, искоришћавање рањивости ће бити прилично тешко. Међутим, чак и таква полуобјављивање рањивости утицало је на Хуавеи: већ следећег дана компанија је почела да дистрибуира закрпу за ажурирање, обећавајући да ће процес завршити до 25. маја.

© Иља Нерyбов.

Извор са хттпс://евовизз.дев/