Разработчикът откри уязвимост в AppGallery

Разработчик на Android Дилън Ръсел казал в блога си за уязвимостта на AppGallery App Store, който се използва в някои смартфони Huawei и Honor като алтернатива на Google Play. API на услугата ви позволява да получавате връзки за изтегляне на APK на платени и безплатни приложения, без дори да изисквате да влизате в акаунта си.

За да се увери, че не е проблем с лицензирането за едно конкретно приложение, той повтори процедурата с няколко други програми - и резултатът беше идентичен. От тестваните само една игра имаше защита, която му попречи да използва така полученото приложение.

Това вреди не само на печалбите на Huawei и разработчиците, но и на обикновените потребители. Тази вратичка може да улесни живота на измамниците, позволявайки например да вземат кода на популярно приложение, модифицирайте го и разпространявайте в мрежата файл с вируси или тракери под прикритието на безплатен хакнат версии.

Разработчиците, които публикуват в Huawei App Store, се съветват да използват допълнителни мерки за сигурност − например системата AppGallery DRM Service, която проверява при всяко стартиране на приложението дали е закупено от този потребител. Ако покупката не бъде потвърдена, потребителят се изпраща до магазина. Това е прост метод за предотвратяване на предаването на закупената програма на други потребители.

Ръсел отбеляза, че е открил тази уязвимост и е предупредил Huawei за това през февруари, но не е получил отговор, след което реши да направи проблема публичен.