המפתח מצא פגיעות ב-AppGallery
Miscellanea / / May 19, 2022
Huawei יודע על זה, אבל לא ממהר לסגור אותו.
מפתח אנדרואיד דילן ראסל סיפר בבלוג שלו על הפגיעות של חנות האפליקציות AppGallery, המשמשת בחלק מהטלפונים החכמים של Huawei ו-Honor כחלופה ל-Google Play. ה-API של השירות מאפשר לך לקבל קישורים להורדת ה-APK של אפליקציות בתשלום וחינמיות, אפילו מבלי לדרוש ממך להיכנס לחשבון שלך.
כדי לוודא שלא מדובר בבעיית רישוי עבור בקשה מסוימת אחת, הוא חזר על ההליך עם כמה תוכנות אחרות - והתוצאה הייתה זהה. מבין הנבדקים, רק למשחק אחד הייתה הגנה שמנעה ממנו להשתמש באפליקציה שהתקבלה כך.
זה פוגע לא רק ברווחים של Huawei ומפתחים, אלא גם במשתמשים רגילים. פרצה זו יכולה להקל על הרמאים, ומאפשרת, למשל, לקחת את הקוד של אפליקציה פופולרית, לשנות אותו ולהפיץ באינטרנט קובץ עם וירוסים או עוקבים במסווה של פריצה חינם גרסאות.
למפתחים המפרסמים ב-Huawei App Store מומלץ להשתמש באמצעי אבטחה נוספים - לדוגמה, מערכת AppGallery DRM Service, שבודקת בכל פעם שהאפליקציה מופעלת אם היא נרכשה על ידי זה מִשׁתַמֵשׁ. אם הרכישה לא מאושרת, המשתמש נשלח לחנות. זוהי שיטה פשוטה למנוע מהתוכנה שנרכשה לעבור למשתמשים אחרים.
ראסל ציין כי מצא את הפגיעות הזו והזהיר את Huawei על כך בפברואר, אך לא קיבל תגובה, ולאחר מכן החליט לפרסם את הבעיה בפומבי.