A fejlesztő biztonsági rést talált az AppGallery-ben

Android fejlesztő Dylan Russell mondta blogjában az AppGallery alkalmazásbolt sérülékenységéről, amelyet egyes Huawei és Honor okostelefonok használnak a Google Play alternatívájaként. A szolgáltatás API-ja lehetővé teszi, hogy linkeket kapjon a fizetős és ingyenes alkalmazások APK-jának letöltéséhez, anélkül, hogy be kellene jelentkeznie a fiókjába.

Annak érdekében, hogy megbizonyosodjon arról, hogy ez nem egy adott alkalmazás engedélyezési problémája, megismételte az eljárást több más programmal is – és az eredmény ugyanaz volt. A teszteltek közül csak egy játékban volt olyan védelem, amely megakadályozta az így kapott alkalmazás használatában.

Ez nemcsak a Huawei és a fejlesztők, hanem a hétköznapi felhasználók bevételeit is károsítja. Ez a kiskapu megkönnyítheti a csalók életét, lehetővé téve például egy népszerű alkalmazás kódjának átvételét, módosítsa és terjesszen az interneten egy vírust vagy nyomkövetőt tartalmazó fájlt az ingyenes feltörés leple alatt verziók.

A Huawei App Store-ban közzétevő fejlesztőknek további biztonsági intézkedések alkalmazását tanácsoljuk például az AppGallery DRM Service rendszer, amely minden egyes indításakor ellenőrzi, hogy az alkalmazás megvásárolta-e felhasználó. Ha a vásárlást nem erősítik meg, a felhasználó az üzletbe kerül. Ez egy egyszerű módszer annak megakadályozására, hogy a megvásárolt program más felhasználókhoz kerüljön.

Russell megjegyezte, hogy megtalálta ezt a sebezhetőséget, és februárban figyelmeztette rá a Huaweit, de nem kapott választ, majd úgy döntött, nyilvánosságra hozza a problémát.