Huawei AppGallery: een ontwikkelaar meldt een bug waardoor betaalde apps gratis kunnen worden gedownload, maar deze bug wordt al "weken" niet opgelost
Huawei's AppGallery is een eigen vervanger voor de Google Play Storeontwikkeld als reactie op de OEM's blokkade van het gebruik van Android en zijn ecosysteem. Het bedrijf is zeer proactief in het lokken van ontwikkelaars om versies van hun producten te maken voor deze nieuwe markt - betaalde versies inbegrepen. Echter, volgens 9to5 medewerker Dylan Roussel (ook bekend als evowizz), hadden ze bijna geen moeite hoeven doen.
Roussel - ook een ontwikkelaar - raakte geïnteresseerd in de AppGallery API en hoe deze functioneerde, en vond uiteindelijk een parameter om een JSON antwoord van de interface te ontlokken. Deze bevatte informatie zoals versienummers, product ID's en permissieszoals men zou verwachten - maar ook iets wat men niet zou verwachten: een veld voor een URL.
Niet zomaar een URL, natuurlijk, maar degene die wijst naar een (meestal werkende) download link, ongeacht of de app betaald was of niet en bij afwezigheid van enige ondertekening of verificatie in het laatste geval. Roussel nam vervolgens contact op met Huawei en te informeren over deze potentieel ernstige en omzet-drainerende bug.
De OEM antwoordde "5 uur later" - zij het naar verluidt via een "onversleutelde" e-mail - en verzekerde Roussel dat het de potentiële kwetsbaarheid zou onderzoeken kwetsbaarheid zonder uitstel en met het verzoek om het op dat moment niet openbaar te maken. De ontwikkelaar beweert echter dat het lek ongepatcht bleef - en nog steeds van kracht was - gedurende de 13 weken die volgden op zijn eerste melding van 17 februari 2022.
Roussel gaat verder met te melden dat Huawei een aanvankelijke bekendmakingstermijn van 25 maart voorbij liet gaan zonder iets aan het probleem te doen, en uiteindelijk de kwetsbaarheid erkende en identificeerde op 18 mei. Het bedrijf wachtte ook tot deze datum met het openbaar maken van het probleem, en beweerde toen dat het probleem "niet is opgelost"
Tot op heden is er geen informatie over de exploit daadwerkelijk is uitgevoerd, of welke betaalde-versie apps mogelijk zijn getroffen als dat zo is.
Bron(nen)
Top 10 Testrapporten
» Top 10 Multimedia Notebooks
» Top 10 Gaming-Notebooks
» Top 10 Budget Gaming Laptops
» Top 10 Lichtgewicht Gaming-Notebooks
» Top 10 Premium Office/Business-Notebooks
» Top 10 Budget Office/Business-Notebooks
» Top 10 Workstation-Laptops
» Top 10 Subnotebooks
» Top 10 Ultrabooks
» Top 10 Notebooks tot €300
» Top 10 Notebooks tot €500
» Top 10 Notebooks tot € 1.000De beste notebookbeeldschermen zoals getest door Notebookcheck
» De beste notebookbeeldschermen
» Top Windows Alternatieven voor de MacBook Pro 13
» Top Windows Alternatieven voor de MacBook Pro 15
» Top Windows alternatieven voor de MacBook 12 en Air
» Top 10 best verkopende notebooks op Amazon
» Top 10 Convertible Notebooks
» Top 10 Tablets
» Top 10 Tablets tot € 250
» Top 10 Smartphones
» Top 10 Phablets (>90cm²)
» Top 10 Camera Smartphones
» Top 10 Smartphones tot €500
» Top 10 best verkopende smartphones op Amazon