Le développeur a trouvé une vulnérabilité dans AppGallery

Développeur Android Dylan Russell Raconté dans son blog sur la vulnérabilité de l'App Store AppGallery, qui est utilisé dans certains smartphones Huawei et Honor comme alternative à Google Play. L'API du service vous permet d'obtenir des liens pour télécharger l'APK des applications payantes et gratuites, sans même vous obliger à vous connecter à votre compte.

Pour s'assurer qu'il ne s'agissait pas d'un problème de licence pour une application particulière, il a répété la procédure avec plusieurs autres programmes - et le résultat était identique. Parmi ceux testés, un seul jeu disposait d'une protection qui l'empêchait d'utiliser l'application ainsi obtenue.

Cela nuit non seulement aux revenus de Huawei et des développeurs, mais également aux utilisateurs ordinaires. Cette faille peut faciliter la vie des escrocs, permettant par exemple de prendre le code d'une application populaire, le modifier et diffuser sur le Web un fichier contenant des virus ou des traceurs sous couvert d'un piratage gratuit versions.

Il est conseillé aux développeurs qui publient sur le Huawei App Store d'utiliser des mesures de sécurité supplémentaires − par exemple, le système AppGallery DRM Service, qui vérifie à chaque lancement de l'application si elle a été achetée par ce utilisateur. Si l'achat n'est pas confirmé, l'utilisateur est envoyé au magasin. Il s'agit d'une méthode simple pour empêcher que le programme acheté ne soit transmis à d'autres utilisateurs.

Russell a noté qu'il avait trouvé cette vulnérabilité et en avait averti Huawei en février, mais n'avait pas reçu de réponse, après quoi il a décidé de rendre le problème public.