AppGallery di Huawei ha una grossa vulnerabilità che consente agli utenti di scaricare app a pagamento gratuitamente.
Se seguite il settore tecnologico, probabilmente saprete che Huawei è in un mare di guai. Nel maggio 2019 l’azienda è stata sottoposta a un divieto commerciale da parte degli Stati Uniti, che le ha impedito di lavorare con alcuni dei suoi partner di lunga data, tra cui Google. Ciò significa che i telefoni Huawei non possono accedere ai servizi di Google, come il Play Store. L’azienda ha quindi dovuto creare una propria alternativa al Google Play Store, chiamata AppGallery. A prescindere da quanto detto, è stato riferito che AppGallery presenta un problema che consente agli utenti di scaricare gratuitamente le applicazioni a pagamento.
Questa vulnerabilità è stata scoperta da Dylan Roussel. Egli ha scoperto che l’API di AppGallery di Huawei non offre alcuna protezione per le applicazioni a pagamento. Secondo quanto riferito, è possibile ottenere un link di download APK autentico per le applicazioni premium senza dover nemmeno pagare.
Per assicurarsi che il problema non riguardasse solo un’applicazione in particolare, Russel ha provato a scaricare più applicazioni e ogni volta ha avuto successo. Ad ogni modo, riferisce anche di aver scaricato un gioco che prevedeva una verifica della licenza, che non ha superato.
Russel ha anche inviato un’e-mail a Huawei informandola del problema e offrendole 5 settimane di tempo per risolverlo. Ora sono passate 13 settimane e la vulnerabilità persiste. Quindi ha deciso di rivelarla pubblicamente.
L’ignoranza di Huawei può avere un grave impatto sui guadagni degli sviluppatori che hanno pubblicato le loro applicazioni nell’AppGallery di Huawei. Non solo, ma questo problema invita anche alla pirateria delle app. Gli aggressori potrebbero sfruttare l’API per scaricare un gran numero di applicazioni premium senza nemmeno visitare l’AppGallery.
Se siete uno sviluppatore di app con un’applicazione a pagamento pubblicata nell’AppGallery di Huawei, vi consigliamo di implementare ulteriori mezzi di protezione per la vostra applicazione tramite DRM, come AppGallery DRM Service.