Дыра в фирменном сторе Huawei позволяет бесплатно скачивать платные приложения
В магазине Android-приложений Huawei AppGallery обнаружилась уязвимость, благодаря которой можно свободно загружать платные приложения, пишет 9to5Google.
AppGallery, как и другие маркетплейсы для продуктов под Android, позволяет скачивать платные приложения в обход Play Store, который с недавнего времени по известным причинам ввёл ограничения для России и Беларуси. К слову, самой Huawei из-за американских санкций запрещено использовать сервисы Google.
Новый эксплойт нашёл Android-разработчик Дилан Руссел, а проблема кроется в API магазина. Благодаря ей можно без оплаты и даже без входа в аккаунт получить ссылку на нужный загрузочный файл платного приложения.
О находке Руссел сообщил в Huawei ещё 17 февраля. Там вскоре ответили, что изучат вопрос, и договорились, что он не будет предавать уязвимость огласке в течение 5 недель. За это время её так и не устранили, а на емейлы Рассела перестали отвечать. Спустя 90 дней после изначального обращения он решил, что пора рассказать о ней миру.
После этого Huawei признала баг. Исправление должно выйти 25 мая, а пока обезопасить свои платные приложения от бесплатного скачивания из AppGallery разработчики могут с помощью DRM-защиты. Русселу было предложено вознаграждение, но он от денег отказался.
Читать на dev.by