Deutsch
English
Español
Français
Italiano
Polski
Português
Русский
Türkçe
Svenska
Chinese
MagyarHuawei AppGallery: een ontwikkelaar meldt een bug waardoor betaalde apps gratis kunnen worden gedownload, maar deze bug wordt al "weken" niet opgelost
Huawei's AppGallery is een eigen vervanger voor de Google Play Storeontwikkeld als reactie op de OEM's blokkade van het gebruik van Android en zijn ecosysteem. Het bedrijf is zeer proactief in het lokken van ontwikkelaars om versies van hun producten te maken voor deze nieuwe markt - betaalde versies inbegrepen. Echter, volgens 9to5 medewerker Dylan Roussel (ook bekend als evowizz), hadden ze bijna geen moeite hoeven doen.
Roussel - ook een ontwikkelaar - raakte geïnteresseerd in de AppGallery API en hoe deze functioneerde, en vond uiteindelijk een parameter om een JSON antwoord van de interface te ontlokken. Deze bevatte informatie zoals versienummers, product ID's en permissieszoals men zou verwachten - maar ook iets wat men niet zou verwachten: een veld voor een URL.
Niet zomaar een URL, natuurlijk, maar degene die wijst naar een (meestal werkende) download link, ongeacht of de app betaald was of niet en bij afwezigheid van enige ondertekening of verificatie in het laatste geval. Roussel nam vervolgens contact op met Huawei en te informeren over deze potentieel ernstige en omzet-drainerende bug.
De OEM antwoordde "5 uur later" - zij het naar verluidt via een "onversleutelde" e-mail - en verzekerde Roussel dat het de potentiële kwetsbaarheid zou onderzoeken kwetsbaarheid zonder uitstel en met het verzoek om het op dat moment niet openbaar te maken. De ontwikkelaar beweert echter dat het lek ongepatcht bleef - en nog steeds van kracht was - gedurende de 13 weken die volgden op zijn eerste melding van 17 februari 2022.
Roussel gaat verder met te melden dat Huawei een aanvankelijke bekendmakingstermijn van 25 maart voorbij liet gaan zonder iets aan het probleem te doen, en uiteindelijk de kwetsbaarheid erkende en identificeerde op 18 mei. Het bedrijf wachtte ook tot deze datum met het openbaar maken van het probleem, en beweerde toen dat het probleem "niet is opgelost"
Tot op heden is er geen informatie over de exploit daadwerkelijk is uitgevoerd, of welke betaalde-versie apps mogelijk zijn getroffen als dat zo is.
Bron(nen)
