Notebookcheck Logo

Huawei AppGallery: la segnalazione di uno sviluppatore di un bug che potrebbe consentire il download gratuito di applicazioni a pagamento non viene risolta per "settimane"

Huawei vanta la sicurezza di App Gallery. (Fonte: Huawei)
Huawei vanta la sicurezza di App Gallery. (Fonte: Huawei)
L'AppGallery è la versione interna di Huawei di qualcosa di simile all'App Store di Apple che l'OEM è stato costretto a creare dopo aver perso l'accesso al Google Play Store. Uno sviluppatore sostiene di aver scoperto una vulnerabilità che potrebbe consentire agli utenti di aggirare il teorico paywall di fronte alla versione premium delle app presenti sul mercato. Tuttavia, Huawei non avrebbe fatto nulla per "settimane" dopo la segnalazione.

Huawei AppGallery è un sostituto proprietario del Google Play Storesviluppato in risposta al blocco dell'OEM blocco di utilizzare Android e il suo ecosistema. L'azienda è stata molto proattiva nel corteggiare gli sviluppatori affinché realizzino versioni dei loro prodotti per questo nuovo mercato, compresi quelli a pagamento. Tuttavia, secondo il collaboratore di 9to5 Dylan Roussel (noto anche come evowizz), non avrebbero dovuto preoccuparsi.

Roussel, che è anche uno sviluppatore, si è interessato all'AppGallery API e al suo funzionamento, trovando alla fine un parametro per ottenere un file JSON dall'interfaccia. Conteneva informazioni come i numeri di versione, gli ID dei prodotti e le autorizzazioni permessicome ci si potrebbe aspettare, ma anche un'altra che non ci si aspetterebbe: un campo per un URL.

Non un URL qualsiasi, ovviamente, ma quello che punta a un sito (tipicamente funzionante) di download indipendentemente dal fatto che l'applicazione sia a pagamento o meno e in assenza di firma o verifica in quest'ultimo caso. Roussel ha poi contattato Huawei per informarla di questo bug potenzialmente grave e in grado di far diminuire gli introiti.

L'OEM ha risposto "5 ore dopo" - anche se, secondo quanto riferito, tramite un'e-mail "non criptata" - assicurando a Roussel che avrebbe investigato sulla potenziale vulnerabilità senza indugio e chiedendogli di non rivelarla in quel momento. Tuttavia, lo sviluppatore afferma che la vulnerabilità è rimasta senza patch - e ancora attiva - per le 13 settimane successive al suo rapporto iniziale del 17 febbraio 2022.

Roussel riferisce poi che Huawei ha lasciato passare la scadenza iniziale del 25 marzo senza fare nulla per risolvere il problema, riconoscendo e identificando la vulnerabilità il 18 maggio. Anche il dev ha aspettato fino a questa data per renderla pubblica, affermando all'epoca che il problema "non èstato risolto"

Ad oggi, non ci sono informazioni sull' exploit è stato effettivamente messo in atto, o su quali applicazioni a pagamento applicazioni a pagamento di versione a pagamento, o quali applicazioni siano state colpite.

Please share our article, every link counts!
Mail Logo
> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2022 05 > Huawei AppGallery: la segnalazione di uno sviluppatore di un bug che potrebbe consentire il download gratuito di applicazioni a pagamento non viene risolta per "settimane"
Deirdre O'Donnell, 2022-05-23 (Update: 2022-05-23)