Vývojár našiel zraniteľnosť v AppGallery

Vývojár Android Dylan Russell povedal vo svojom blogu o zraniteľnosti obchodu s aplikáciami AppGallery, ktorý sa používa v niektorých smartfónoch Huawei a Honor ako alternatíva k Google Play. Rozhranie API služby vám umožňuje získať odkazy na stiahnutie APK platených aj bezplatných aplikácií bez toho, aby ste sa museli prihlasovať do svojho účtu.

Aby sa uistil, že nejde o licenčný problém pre jednu konkrétnu aplikáciu, postup zopakoval s niekoľkými ďalšími programami – a výsledok bol rovnaký. Z testovaných len jedna hra mala ochranu, ktorá mu bránila používať takto získanú aplikáciu.

Poškodzuje to nielen zárobky Huawei a vývojárov, ale aj bežných používateľov. Táto medzera môže uľahčiť život podvodníkom, napríklad im umožní získať kód obľúbenej aplikácie, upravte ho a distribuujte na webe súbor s vírusmi alebo sledovačmi pod zámienkou bezplatného napadnutia verzií.

Vývojárom, ktorí publikujú v obchode Huawei App Store, sa odporúča použiť dodatočné bezpečnostné opatrenia − napríklad systém AppGallery DRM Service, ktorý pri každom spustení aplikácie kontroluje, či bola zakúpená týmto užívateľ. Ak nákup nie je potvrdený, používateľ je odoslaný do obchodu. Ide o jednoduchý spôsob, ako zabrániť odovzdaniu zakúpeného programu iným používateľom.

Russell poznamenal, že túto zraniteľnosť našiel a vo februári na ňu upozornil Huawei, no nedostal odpoveď, po ktorej sa rozhodol problém zverejniť.