Notebookcheck Logo

Huawei AppGallery : le rapport d'un développeur concernant un bogue qui pourrait permettre le téléchargement gratuit d'applications payantes n'est pas corrigé pendant des "semaines"

Huawei vante la sécurité d'App Gallery. (Source : Huawei)
Huawei vante la sécurité d'App Gallery. (Source : Huawei)
L'AppGallery est la version interne de Huawei de quelque chose comme l'App Store de Apple que l'équipementier a été obligé de mettre en place après avoir perdu l'accès au Google Play Store. Un développeur affirme qu'il a présenté une vulnérabilité qui pourrait permettre aux utilisateurs de contourner le paywall théorique devant la version premium des applications sur le marché. Cependant, Huawei n'aurait rien fait à propos de la situation pendant des "semaines" après le rapport.
Business Chinese Tech Leaks / Rumors Phablet Smartphone Software Tablet Wearable Ultrabook

Le site de Huawei AppGallery est un remplacement propriétaire du Google Play Storedéveloppé en réponse au blocus de l'équipementier de l'équipementier d'utiliser Android et son écosystème. L'entreprise a été très proactive pour inciter les développeurs à créer des versions de leurs produits pour ce nouveau marché, y compris les versions payantes. Cependant, selon le collaborateur de 9to5 Dylan Roussel (également connu sous le nom de evowizz), ils n'auraient pas dû s'en préoccuper.

M. Roussel, également développeur, s'est intéressé à l'AppGallery ET À SON FONCTIONNEMENT appGallery et à son fonctionnement. Il a fini par trouver un paramètre permettant d'obtenir un fichier JSON de l'interface. Celle-ci contenait des informations telles que les numéros de version, les identifiants de produits et les permissionscomme on pouvait s'y attendre, ainsi qu'une autre information à laquelle on ne s'attendait pas : un champ pour une URL.

Pas n'importe quelle URL, bien sûr, mais celle qui pointe vers un site de (généralement fonctionnel) télécharger que l'application soit payante ou non et en l'absence de toute signature ou vérification dans ce dernier cas. Roussel a ensuite contacté Huawei pour l'informer de ce bug potentiellement grave et destructeur de revenus.

L'équipementier a répondu "5 heures plus tard" - bien qu'apparemment via un email "non crypté" - assurant à Roussel qu'il allait enquêter sur la potentielle vulnérabilité sans délai et lui demandant de ne pas la divulguer à ce moment-là. Cependant, le développeur affirme qu'elle n'a pas été corrigée - et qu'elle est toujours en vigueur - pendant les 13 semaines qui ont suivi son rapport initial du 17 février 2022.

Roussel poursuit en indiquant que Huawei a laissé passer la date limite de divulgation initiale du 25 mars sans rien faire pour résoudre le problème, pour finalement reconnaître et identifier la vulnérabilité le 18 mai. Le dev a également attendu cette date pour la rendre publique, affirmant à l'époque que le problème "n'est pas réglé"

À ce jour, il n'y a pas d'information sur l exploit a effectivement été mis en œuvre, ou quelles versions payantes payantes ont pu être affectées si c'est le cas.

Source(s)

Dylan Roussel

Articles en relation

Huawei vend le MateBook 14 2022 en deux options de couleur et de processeur. (Image source : Huawei)
Huawei MateBook 14 2022 : un ordinateur portable de 14 pouces annoncé en deux couleurs avec des processeurs Intel Alder Lake-P 05/25/2022
Le MateBook D 14 2022 est une alternative moins chère au MateBook 14 2022. (Image source : Huawei)
Huawei MateBook D 14 : le rafraîchissement de 2022 est révélé avec un choix de processeurs Intel Core i5-1240P et Core i7-1260P 05/25/2022
Le moniteur MateView SE prend en charge AMD FreeSync et possède un taux de rafraîchissement de 75 Hz. (Image source : Huawei)
Huawei MateView SE : un moniteur à petit prix doté du support AMD FreeSync et d'un taux de rafraîchissement de 75 Hz 05/25/2022
Huawei n'a toujours pas révélé quand elle commencera à vendre la Watch D en Europe. (Image source : Huawei)
Huawei Watch D : La surveillance de la pression artérielle et l'ECG seront lancés après les débuts de la smartwatch en Europe et au Royaume-Uni 05/24/2022
Le MateBook 16s est proposé en finitions grise et argentée. (Image source : Huawei)
Huawei MateBook 16s : un ordinateur portable de 16 pouces avec un écran 3:2 et une option de processeur Intel Core i9-12900H présentée qui ressemble au MacBook Pro 16 05/24/2022
Les mini téléviseurs LED Huawei 2022 Smart Screen V Pro prennent en charge VRR et ALLM. (Image source : Huawei via JD Mall)
Lancement des mini téléviseurs LED Huawei 2022 Smart Screen V Pro avec VRR et ALLM 05/20/2022
Une nouvelle mise à jour du logiciel HarmonyOS a été publiée pour la montre intelligente Huawei Watch GT 3 (Image : Huawei)
La nouvelle mise à jour logicielle HarmonyOS de la Huawei Watch GT 3 introduit le portefeuille iOS et la fonction de santé respiratoire 05/20/2022
La Watch D est l'une des premières smartwatches capables de surveiller les niveaux de pression artérielle sans nécessiter un appareil séparé. (Image source : Huawei)
Huawei Watch D : La smartwatch avec des capacités de mesure de la pression artérielle et d'analyse de l'ECG arrive en Europe 05/19/2022
Le Huawei Band 7 sera disponible en quatre couleurs, toutes avec un boîtier plus fin et plus léger que le Band 6. (Image source : Huawei)
Huawei Band 7 : le tracker de fitness arrive en Europe pour 59,99 € avec 14 jours d'autonomie, un écran AMOLED et un capteur SpO2 05/18/2022
Le Huawei Mate Xs 2 se décline en finitions noire et blanche. (Image source : Huawei)
Huawei Mate Xs 2 : le smartphone pliable phare dévoilé hors de Chine pour 1 999 € avec un Snapdragon 888 4G et un écran 120 Hz 05/18/2022
La Watch FIT 2 coûtera entre 149,99 € et 229,99 €, selon le modèle. (Image source : Huawei)
Huawei Watch FIT 2 : la version améliorée du tracker fitness est présentée en trois modèles à partir de 149,99 € 05/18/2022
Please share our article, every link counts!
Mail Logo
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Archives des nouvelles 2022 05 > Huawei AppGallery : le rapport d'un développeur concernant un bogue qui pourrait permettre le téléchargement gratuit d'applications payantes n'est pas corrigé pendant des "semaines"
Deirdre O'Donnell, 2022-05-23 (Update: 2022-05-23)