Huawei AppGallery: la segnalazione di uno sviluppatore di un bug che potrebbe consentire il download gratuito di applicazioni a pagamento non viene risolta per "settimane"
Huawei AppGallery è un sostituto proprietario del Google Play Storesviluppato in risposta al blocco dell'OEM blocco di utilizzare Android e il suo ecosistema. L'azienda è stata molto proattiva nel corteggiare gli sviluppatori affinché realizzino versioni dei loro prodotti per questo nuovo mercato, compresi quelli a pagamento. Tuttavia, secondo il collaboratore di 9to5 Dylan Roussel (noto anche come evowizz), non avrebbero dovuto preoccuparsi.
Roussel, che è anche uno sviluppatore, si è interessato all'AppGallery API e al suo funzionamento, trovando alla fine un parametro per ottenere un file JSON dall'interfaccia. Conteneva informazioni come i numeri di versione, gli ID dei prodotti e le autorizzazioni permessicome ci si potrebbe aspettare, ma anche un'altra che non ci si aspetterebbe: un campo per un URL.
Non un URL qualsiasi, ovviamente, ma quello che punta a un sito (tipicamente funzionante) di download indipendentemente dal fatto che l'applicazione sia a pagamento o meno e in assenza di firma o verifica in quest'ultimo caso. Roussel ha poi contattato Huawei per informarla di questo bug potenzialmente grave e in grado di far diminuire gli introiti.
L'OEM ha risposto "5 ore dopo" - anche se, secondo quanto riferito, tramite un'e-mail "non criptata" - assicurando a Roussel che avrebbe investigato sulla potenziale vulnerabilità senza indugio e chiedendogli di non rivelarla in quel momento. Tuttavia, lo sviluppatore afferma che la vulnerabilità è rimasta senza patch - e ancora attiva - per le 13 settimane successive al suo rapporto iniziale del 17 febbraio 2022.
Roussel riferisce poi che Huawei ha lasciato passare la scadenza iniziale del 25 marzo senza fare nulla per risolvere il problema, riconoscendo e identificando la vulnerabilità il 18 maggio. Anche il dev ha aspettato fino a questa data per renderla pubblica, affermando all'epoca che il problema "non èstato risolto"
Ad oggi, non ci sono informazioni sull' exploit è stato effettivamente messo in atto, o su quali applicazioni a pagamento applicazioni a pagamento di versione a pagamento, o quali applicazioni siano state colpite.
Fonte(i)
I nostri Top 10
» Top 10 Portatili Multimedia
» Top 10 Portatili Gaming
» Top 10 Portatili Gaming Leggeri
» Top 10 Portatili da Ufficio e Business economici
» Top 10 Portatili Premium da Ufficio/Business
» Top 10 Portatili sotto i 300 Euro
» Top 10 Portatili sotto i 500 Euro
» Top 10 dei Portatili Workstation
» Top 10 Subnotebooks
» Top 10 Ultrabooks
» Top 10 Convertibili
» Top 10 Tablets
» Top 10 Tablets Windows
» Top 10 Smartphones