Vývojář našel zranitelnost v AppGallery

Vývojář pro Android Dylan Russell řekl ve svém blogu o zranitelnosti obchodu s aplikacemi AppGallery, který se v některých chytrých telefonech Huawei a Honor používá jako alternativa ke Google Play. API služby vám umožňuje získat odkazy ke stažení APK placených i bezplatných aplikací, aniž byste se museli přihlašovat ke svému účtu.

Aby se ujistil, že nejde o licenční problém pro jednu konkrétní aplikaci, zopakoval postup s několika dalšími programy – a výsledek byl totožný. Z testovaných měla pouze jedna hra ochranu, která mu bránila v používání takto získané aplikace.

To poškozuje nejen výdělky Huawei a vývojářů, ale i běžných uživatelů. Tato mezera může usnadnit život podvodníkům a umožnit jim například získat kód oblíbené aplikace, upravovat jej a distribuovat na webu soubor s viry nebo sledovači pod rouškou bezplatného hacknutí verze.

Vývojářům, kteří publikují na Huawei App Store, se doporučuje používat další bezpečnostní opatření − například systém AppGallery DRM Service, který při každém spuštění aplikace kontroluje, zda byla zakoupena tímto uživatel. Pokud není nákup potvrzen, je uživatel odeslán do obchodu. Jedná se o jednoduchou metodu, jak zabránit předání zakoupeného programu dalším uživatelům.

Russell poznamenal, že našel tuto zranitelnost a varoval před ní Huawei v únoru, ale nedostal odpověď, načež se rozhodl problém zveřejnit.