Notebookcheck Logo

Huawei AppGallery : le rapport d'un développeur concernant un bogue qui pourrait permettre le téléchargement gratuit d'applications payantes n'est pas corrigé pendant des "semaines"

Huawei vante la sécurité d'App Gallery. (Source : Huawei)
Huawei vante la sécurité d'App Gallery. (Source : Huawei)
L'AppGallery est la version interne de Huawei de quelque chose comme l'App Store de Apple que l'équipementier a été obligé de mettre en place après avoir perdu l'accès au Google Play Store. Un développeur affirme qu'il a présenté une vulnérabilité qui pourrait permettre aux utilisateurs de contourner le paywall théorique devant la version premium des applications sur le marché. Cependant, Huawei n'aurait rien fait à propos de la situation pendant des "semaines" après le rapport.

Le site de Huawei AppGallery est un remplacement propriétaire du Google Play Storedéveloppé en réponse au blocus de l'équipementier de l'équipementier d'utiliser Android et son écosystème. L'entreprise a été très proactive pour inciter les développeurs à créer des versions de leurs produits pour ce nouveau marché, y compris les versions payantes. Cependant, selon le collaborateur de 9to5 Dylan Roussel (également connu sous le nom de evowizz), ils n'auraient pas dû s'en préoccuper.

M. Roussel, également développeur, s'est intéressé à l'AppGallery ET À SON FONCTIONNEMENT appGallery et à son fonctionnement. Il a fini par trouver un paramètre permettant d'obtenir un fichier JSON de l'interface. Celle-ci contenait des informations telles que les numéros de version, les identifiants de produits et les permissionscomme on pouvait s'y attendre, ainsi qu'une autre information à laquelle on ne s'attendait pas : un champ pour une URL.

Pas n'importe quelle URL, bien sûr, mais celle qui pointe vers un site de (généralement fonctionnel) télécharger que l'application soit payante ou non et en l'absence de toute signature ou vérification dans ce dernier cas. Roussel a ensuite contacté Huawei pour l'informer de ce bug potentiellement grave et destructeur de revenus.

L'équipementier a répondu "5 heures plus tard" - bien qu'apparemment via un email "non crypté" - assurant à Roussel qu'il allait enquêter sur la potentielle vulnérabilité sans délai et lui demandant de ne pas la divulguer à ce moment-là. Cependant, le développeur affirme qu'elle n'a pas été corrigée - et qu'elle est toujours en vigueur - pendant les 13 semaines qui ont suivi son rapport initial du 17 février 2022.

Roussel poursuit en indiquant que Huawei a laissé passer la date limite de divulgation initiale du 25 mars sans rien faire pour résoudre le problème, pour finalement reconnaître et identifier la vulnérabilité le 18 mai. Le dev a également attendu cette date pour la rendre publique, affirmant à l'époque que le problème "n'est pas réglé"

À ce jour, il n'y a pas d'information sur l exploit a effectivement été mis en œuvre, ou quelles versions payantes payantes ont pu être affectées si c'est le cas.

Source(s)

Please share our article, every link counts!
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Archives des nouvelles 2022 05 > Huawei AppGallery : le rapport d'un développeur concernant un bogue qui pourrait permettre le téléchargement gratuit d'applications payantes n'est pas corrigé pendant des "semaines"
Deirdre O'Donnell, 2022-05-23 (Update: 2022-05-23)