Huawei AppGallery: um relatório do desenvolvedor sobre um bug que pode permitir que aplicativos pagos sejam baixados gratuitamente fica sem endereço durante "semanas"
Huawei's AppGallery é um substituto proprietário para o Google Loja de jogosdesenvolvido em resposta aos OEM's bloqueios de usar Android e seu ecossistema. A empresa tem sido muito proativo em cortejar desenvolvedores para fazer versões de seus produtos para este novo mercado - inclusive versões pagas. Entretanto, de acordo com o colaborador de 9 a 5 Dylan Roussel (também conhecido como evowizz), eles quase não deveriam ter se incomodado.
A Roussel - também desenvolvedora - se interessou pela AppGallery API e como funcionava, eventualmente encontrando um parâmetro para obter um JSON resposta a partir da interface. Ela continha informações tais como números de versão, IDs de produtos e permissõescomo era de se esperar - assim como não era de se esperar: um campo para uma URL.
Não uma URL qualquer, é claro, mas aquela que aponta para um (normalmente funcionando) baixar link, independentemente de o aplicativo ter sido pago ou não e na ausência de qualquer assinatura ou verificação no último caso. A Roussel procedeu ao contato Huawei e informá-lo sobre este bug potencialmente severo e que drena receitas.
O OEM respondeu "5 horas depois" - embora alegadamente através de um e-mail "não criptografado" - assegurando à Roussel que iria investigar o potencial vulnerabilidade sem demora e solicitando que ele não o revele naquele momento. No entanto, o desenvolvedor afirma que ela permaneceu sem remendo - e ainda em vigor - durante as 13 semanas seguintes ao seu relatório inicial de 17 de fevereiro de 2022.
A Roussel continua a informar que Huawei deixar passar um prazo inicial de 25 de março sem fazer nada a respeito do problema, finalmente reconhecendo e identificando a vulnerabilidade em 18 de maio. O dev também esperou até esta data para torná-la pública, afirmando na ocasião que o problema "não está resolvido"
Até o momento, não há informações sobre o explorar tendo sido realmente promulgada, ou qual versão paga aplicações pode ter sido afetado se assim for.
Fonte(s)
Os Top 10
» Os Top 10 Portáteis Multimídia
» Os Top 10 Portáteis de Jogos
» Os Top 10 Portáteis Leves para Jogos
» Os Top 10 Portáteis Acessíveis de Escritório/Empresariais
» Os Top 10 Portáteis Premium de Escritório/Empresariais
» Os Top 10 dos Portáteis Workstation
» Os Top 10 Subportáteis
» Os Top 10 Ultrabooks
» Os Top 10 Conversíveis
» Os Top 10 Tablets
» Os Top 10 Smartphones
» A melhores Telas de Portáteis Analisadas Pela Notebookcheck
» Top 10 dos portáteis abaixo dos 500 Euros da Notebookcheck
» Top 10 dos Portáteis abaixo dos 300 Euros