Arendaja leidis AppGalleryst haavatavuse

Androidi arendaja Dylan Russell rääkis oma blogis AppGallery rakenduste poe haavatavusest, mida kasutatakse mõnes Huawei ja Honori nutitelefonis Google Play alternatiivina. Teenuse API võimaldab hankida linke nii tasuliste kui ka tasuta rakenduste APK allalaadimiseks, ilma et peaksite isegi oma kontole sisse logima.

Veendumaks, et see ei olnud ühe konkreetse rakenduse litsentsimise probleem, kordas ta protseduuri mitme teise programmiga – ja tulemus oli identne. Katsetatutest oli vaid ühel mängul kaitse, mis takistas tal sel viisil saadud rakendust kasutamast.

See kahjustab mitte ainult Huawei ja arendajate, vaid ka tavakasutajate sissetulekuid. See lünk võib petturite elu lihtsamaks muuta, võimaldades näiteks võtta populaarse rakenduse koodi, muutke seda ja levitage veebis tasuta häkkimise varjus viiruste või jälgijatega faili versioonid.

Huawei App Store'is avaldavatel arendajatel soovitatakse kasutada täiendavaid turvameetmeid näiteks AppGallery DRM Service süsteem, mis kontrollib iga kord, kui rakendus käivitatakse, kas selle ostis see kasutaja. Kui ostu ei kinnitata, saadetakse kasutaja poodi. See on lihtne meetod ostetud programmi teistele kasutajatele edasiandmise vältimiseks.

Russell märkis, et leidis selle haavatavuse ja hoiatas Huaweid selle eest veebruaris, kuid ei saanud vastust, misjärel otsustas probleemi avalikustada.