Deutsch
English
Español
Italiano
Nederlands
Polski
Português
Русский
Türkçe
Svenska
Chinese
MagyarHuawei AppGallery : le rapport d'un développeur concernant un bogue qui pourrait permettre le téléchargement gratuit d'applications payantes n'est pas corrigé pendant des "semaines"
Le site de Huawei AppGallery est un remplacement propriétaire du Google Play Storedéveloppé en réponse au blocus de l'équipementier de l'équipementier d'utiliser Android et son écosystème. L'entreprise a été très proactive pour inciter les développeurs à créer des versions de leurs produits pour ce nouveau marché, y compris les versions payantes. Cependant, selon le collaborateur de 9to5 Dylan Roussel (également connu sous le nom de evowizz), ils n'auraient pas dû s'en préoccuper.
M. Roussel, également développeur, s'est intéressé à l'AppGallery ET À SON FONCTIONNEMENT appGallery et à son fonctionnement. Il a fini par trouver un paramètre permettant d'obtenir un fichier JSON de l'interface. Celle-ci contenait des informations telles que les numéros de version, les identifiants de produits et les permissionscomme on pouvait s'y attendre, ainsi qu'une autre information à laquelle on ne s'attendait pas : un champ pour une URL.
Pas n'importe quelle URL, bien sûr, mais celle qui pointe vers un site de (généralement fonctionnel) télécharger que l'application soit payante ou non et en l'absence de toute signature ou vérification dans ce dernier cas. Roussel a ensuite contacté Huawei pour l'informer de ce bug potentiellement grave et destructeur de revenus.
L'équipementier a répondu "5 heures plus tard" - bien qu'apparemment via un email "non crypté" - assurant à Roussel qu'il allait enquêter sur la potentielle vulnérabilité sans délai et lui demandant de ne pas la divulguer à ce moment-là. Cependant, le développeur affirme qu'elle n'a pas été corrigée - et qu'elle est toujours en vigueur - pendant les 13 semaines qui ont suivi son rapport initial du 17 février 2022.
Roussel poursuit en indiquant que Huawei a laissé passer la date limite de divulgation initiale du 25 mars sans rien faire pour résoudre le problème, pour finalement reconnaître et identifier la vulnérabilité le 18 mai. Le dev a également attendu cette date pour la rendre publique, affirmant à l'époque que le problème "n'est pas réglé"
À ce jour, il n'y a pas d'information sur l exploit a effectivement été mis en œuvre, ou quelles versions payantes payantes ont pu être affectées si c'est le cas.
Source(s)
