Notebookcheck Logo

Huawei AppGallery: um relatório do desenvolvedor sobre um bug que pode permitir que aplicativos pagos sejam baixados gratuitamente fica sem endereço durante "semanas"

Huawei touts App Gallery segurança. (Fonte: Huawei)
Huawei touts App Gallery segurança. (Fonte: Huawei)
A AppGallery é a versão interna da Huawei de algo como Apple's App Store que o OEM foi obrigado a estabelecer depois que perdeu o acesso à Loja do Google Play. Um desenvolvedor alega que demonstrou uma vulnerabilidade que pode deixar os usuários contornarem o paywall teórico em frente à versão premium dos aplicativos no mercado. No entanto, Huawei supostamente não fez nada a respeito da situação durante "semanas" após o relatório.

Huawei's AppGallery é um substituto proprietário para o Google Loja de jogosdesenvolvido em resposta aos OEM's bloqueios de usar Android e seu ecossistema. A empresa tem sido muito proativo em cortejar desenvolvedores para fazer versões de seus produtos para este novo mercado - inclusive versões pagas. Entretanto, de acordo com o colaborador de 9 a 5 Dylan Roussel (também conhecido como evowizz), eles quase não deveriam ter se incomodado.

A Roussel - também desenvolvedora - se interessou pela AppGallery API e como funcionava, eventualmente encontrando um parâmetro para obter um JSON resposta a partir da interface. Ela continha informações tais como números de versão, IDs de produtos e permissõescomo era de se esperar - assim como não era de se esperar: um campo para uma URL.

Não uma URL qualquer, é claro, mas aquela que aponta para um (normalmente funcionando) baixar link, independentemente de o aplicativo ter sido pago ou não e na ausência de qualquer assinatura ou verificação no último caso. A Roussel procedeu ao contato Huawei e informá-lo sobre este bug potencialmente severo e que drena receitas.

O OEM respondeu "5 horas depois" - embora alegadamente através de um e-mail "não criptografado" - assegurando à Roussel que iria investigar o potencial vulnerabilidade sem demora e solicitando que ele não o revele naquele momento. No entanto, o desenvolvedor afirma que ela permaneceu sem remendo - e ainda em vigor - durante as 13 semanas seguintes ao seu relatório inicial de 17 de fevereiro de 2022.

A Roussel continua a informar que Huawei deixar passar um prazo inicial de 25 de março sem fazer nada a respeito do problema, finalmente reconhecendo e identificando a vulnerabilidade em 18 de maio. O dev também esperou até esta data para torná-la pública, afirmando na ocasião que o problema "não está resolvido"

Até o momento, não há informações sobre o explorar tendo sido realmente promulgada, ou qual versão paga aplicações pode ter sido afetado se assim for.

Please share our article, every link counts!
Mail Logo
> Análises e revisões de portáteis e celulares > Arquivo de notícias 2022 05 > Huawei AppGallery: um relatório do desenvolvedor sobre um bug que pode permitir que aplicativos pagos sejam baixados gratuitamente fica sem endereço durante "semanas"
Deirdre O'Donnell, 2022-05-23 (Update: 2022-05-23)