Deweloper znalazł lukę w AppGallery
Miscellanea / / May 19, 2022
Huawei o tym wie, ale nie spieszy się z zamknięciem.
Programista Android Dylan Russell powiedział na swoim blogu o luce w AppGallery App Store, która jest wykorzystywana w niektórych smartfonach Huawei i Honor jako alternatywa dla Google Play. Interfejs API usługi pozwala uzyskać linki do pobrania APK zarówno płatnych, jak i bezpłatnych aplikacji, bez konieczności logowania się na swoje konto.
Aby upewnić się, że nie jest to kwestia licencji dla jednej konkretnej aplikacji, powtórzył procedurę z kilkoma innymi programami - i wynik był identyczny. Spośród testowanych tylko jedna gra posiadała ochronę, która uniemożliwiała mu korzystanie z otrzymanej w ten sposób aplikacji.
Szkodzi to nie tylko zarobkom Huawei i programistów, ale także zwykłym użytkownikom. Ta luka może ułatwić życie oszustom, pozwalając np. na przejęcie kodu popularnej aplikacji, modyfikować i rozpowszechniać w sieci plik z wirusami lub trackerami pod przykrywką darmowego zhakowania wersje.
Deweloperom, którzy publikują w Huawei App Store, zaleca się stosowanie dodatkowych środków bezpieczeństwa − np. system AppGallery DRM Service, który przy każdym uruchomieniu aplikacji sprawdza, czy została przez niego zakupiona użytkownik. Jeśli zakup nie zostanie potwierdzony, użytkownik zostaje wysłany do sklepu. Jest to prosta metoda zapobiegania przekazaniu zakupionego programu innym użytkownikom.
Russell zauważył, że znalazł tę lukę i ostrzegł o niej Huawei w lutym, ale nie otrzymał odpowiedzi, po czym postanowił upublicznić problem.