O desenvolvedor encontrou uma vulnerabilidade no AppGallery
Miscelânea / / May 19, 2022
A Huawei sabe disso, mas não tem pressa em fechá-lo.
Desenvolvedor Android Dylan Russell contou em seu blog sobre a vulnerabilidade da AppGallery app store, que é usada em alguns smartphones Huawei e Honor como alternativa ao Google Play. A API do serviço permite obter links para baixar o APK de aplicativos pagos e gratuitos, sem precisar fazer login na sua conta.
Para ter certeza de que não era um problema de licenciamento para um aplicativo em particular, ele repetiu o procedimento com vários outros programas - e o resultado foi idêntico. Dos testados, apenas um jogo possuía proteção que o impedia de utilizar o aplicativo assim obtido.
Isso prejudica não apenas os ganhos da Huawei e dos desenvolvedores, mas também dos usuários comuns. Essa brecha pode facilitar a vida dos golpistas, permitindo, por exemplo, pegar o código de um aplicativo popular, modificá-lo e distribuir na Web um arquivo com vírus ou rastreadores sob o disfarce de um hacker gratuito versões.
Os desenvolvedores que publicam na Huawei App Store são aconselhados a usar medidas de segurança adicionais − por exemplo, o sistema AppGallery DRM Service, que verifica cada vez que o aplicativo é iniciado se foi adquirido por este do utilizador. Caso a compra não seja confirmada, o usuário é encaminhado para a loja. Este é um método simples para evitar que o programa adquirido seja repassado a outros usuários.
Russell observou que encontrou essa vulnerabilidade e alertou a Huawei sobre isso em fevereiro, mas não recebeu uma resposta, após o que decidiu tornar o problema público.