AppGallery, ücretli uygulamaları ücretsiz olarak indirmenize izin verir

Fransa'dan bir geliştirici, Huawei'de kendisi için hoş olmayan ve pek çok kişi için de hoş olan bir güvenlik açığı keşfetti

AppGallery.Çin uygulama mağazası API'sini araştırırken, sunucunun istemciye (ister bir Huawei AppGallery uygulaması olsun, isterse manuel olarak veri isteyen bir kişi olsun), ücretsiz veya ücretli olup olmadığına bakılmaksızın, uygulamayı indirmek için bir bağlantı ilettiğini keşfetti. Kullanıcının satın alıp almadığı. Bu bağlantılar da herhangi bir doğrulama içermemektedir ve bunlara tıklayarak uygulama satın alınmamış olsa bile .apk dosyasını indirebilirsiniz. Elbette bu .apk dosyasını yükleyip uygulamayı satın almış gibi kullanabilirsiniz.

Sorunu keşfeden geliştirici bildirdiHuawei Şubat ortasında geri döndü. Ve bunu tam olarak şirket tarafından önerildiği gibi yaptı - şifreli e-posta ile, ardından orijinal mektubun metnini içeren şifrelenmemiş bir mektup şeklinde bir yanıt aldı. Güvenlik ihmali bununla da kalmadı: şirket, sorunu çözmek için 5 hafta boyunca bilgi yayınlamamasını istedi, ancak 5 hafta veya üç ay içinde düzeltmedi ve geliştiricinin mektuplarına yanıt vermeyi bıraktı.

Bundan sonra, geliştirici hakkında bilgi yayınladıgüvenlik açığı, ancak eksik: hangi API'nin bağlantıları bu kadar yanlış döndürdüğünü belirtmedi ve tespiti en zor görevdir. Bu nedenle, özel bilgi olmadan, güvenlik açığından yararlanmak oldukça zor olacaktır. Bununla birlikte, güvenlik açığının bu tür bir yarı yayınının bile Huawei üzerinde bir etkisi oldu: hemen ertesi gün şirket, güncelleme yamasını dağıtmaya başladı ve süreci 25 Mayıs'a kadar tamamlama sözü verdi.

© İlya Nerybov.

https://evowizz.dev/ adresinden alınmıştır.