La vulnerabilità di Huawei AppGallery consente di scaricare gratuitamente le app a pagamento

A causa di una vulnerabilità dell’API, gli utenti dell’app store di Huawei, AppGallery, possono attualmente scaricare app gratuite che in realtà costerebbero denaro. Huawei promette di risolvere il problema entro il 25 maggio.

A causa della vulnerabilità, qualcuno con il scoperto dallo sviluppatore Dylan Roussel api ha ricevuto un rapporto json contenente un collegamento per il download dell’apk di un’app a tua scelta. A causa di un’ulteriore mancanza di sicurezza da parte di AppGallery tramite questo percorso, non importa se un utente ha pagato per un’app o meno. Roussel ha installato con successo diverse app a pagamento grazie alla vulnerabilità. Solo un gioco che ha eseguito un controllo della licenza dopo l’installazione non ha funzionato; gli sviluppatori possono quindi prevenire la vulnerabilità da soli.

Secondo Roussel, invece, la causa del problema è chiaramente con Huawei; l’AppGallery non applicherebbe più alcuna sicurezza o autenticazione aggiuntiva. Di conseguenza, gli sviluppatori potrebbero perdere molte entrate e sono vulnerabili alla pirateria del software.

Huawei sarebbe stata quindi informata immediatamente; Roussel ha scoperto la vulnerabilità a febbraio e inizialmente ha ricevuto una rapida risposta dall’azienda cinese. Dopo aver fallito nel risolvere il problema, ha inviato e-mail di follow-up che sono rimaste senza risposta per 13 settimane dopo l’e-mail iniziale. Nel frattempo Huawei ha riconosciuto la vulnerabilità e sta lavorando a una patch che dovrebbe essere implementata in tutte le regioni entro pochi giorni.

A causa delle sanzioni del governo degli Stati Uniti, Google ha smesso di fornire servizi a Huawei dalla fine del 2019, che ha effettivamente bloccato Android e il Play Store del marchio cinese, tra gli altri. Nel frattempo, Huawei offre alternative per la maggior parte dei servizi, inclusa l’AppGallery come proprio app store.