В AppGallery можна безкоштовно завантажувати платні програми

Розробник із Франції виявив неприємну для нього – і приємну для багатьох інших – вразливість у Huawei

AppGallery.Досліджуючи API китайського магазину додатків, він виявив, що сервер передає клієнту (чи то додаток Huawei AppGallery або людина, яка запитує дані вручну) посилання для завантаження програми, незалежно від того, є вона безкоштовною або платною, куплена вона користувачем чи ні. Ці посилання теж не містять жодної перевірки, і перейшовши по них можна завантажити .apk-файл, навіть якщо програма не була куплена. Звичайно ж, цей .apk-файл можна встановити та використовувати додаток, ніби ви його купили.

Розробник, який виявив проблему, повідомив про неїHuawei ще у середині лютого. Причому він це зробив так, як рекомендує компанія — зашифрованим електронним листом, після чого отримав відповідь у вигляді незашифрованого листа, що містив у собі текст вихідного листа. Наплювальне ставлення до безпеки цим не обмежилося: компанія попросила не публікувати інформацію протягом 5 тижнів, щоб виправити проблему, але не виправила її ні за 5 тижнів, ні за три місяці, а відповідати на листи розробника перестала.

Після цього розробник опублікував інформацію провразливості, проте неповну: він не вказав, яке саме API настільки неакуратно повертає посилання, яке виявлення є найскладнішим завданням. Таким чином, не маючи спеціальних знань, використовувати вразливість буде досить важко. Втім, навіть така напівпублікація вразливості подіяла на Huawei: вже наступного дня компанія почала розповсюджувати виправлення оновлення, пообіцявши закінчити процес до 25 травня.

© Ілля Нерибов.

За матеріалами https://evowizz.dev/