Huawei AppGallery: la segnalazione di uno sviluppatore di un bug che potrebbe consentire il download gratuito di applicazioni a pagamento non viene risolta per "settimane"

Huawei vanta la sicurezza di App Gallery. (Fonte: Huawei)

L'AppGallery è la versione interna di Huawei di qualcosa di simile all'App Store di Apple che l'OEM è stato costretto a creare dopo aver perso l'accesso al Google Play Store. Uno sviluppatore sostiene di aver scoperto una vulnerabilità che potrebbe consentire agli utenti di aggirare il teorico paywall di fronte alla versione premium delle app presenti sul mercato. Tuttavia, Huawei non avrebbe fatto nulla per "settimane" dopo la segnalazione.

Deirdre O'Donnell, Published 05/23/2022 🇺🇸 🇳🇱 ...

Huawei AppGallery è un sostituto proprietario del Google Play Storesviluppato in risposta al blocco dell'OEM blocco di utilizzare Android e il suo ecosistema. L'azienda è stata molto proattiva nel corteggiare gli sviluppatori affinché realizzino versioni dei loro prodotti per questo nuovo mercato, compresi quelli a pagamento. Tuttavia, secondo il collaboratore di 9to5 Dylan Roussel (noto anche come evowizz), non avrebbero dovuto preoccuparsi.

Roussel, che è anche uno sviluppatore, si è interessato all'AppGallery API e al suo funzionamento, trovando alla fine un parametro per ottenere un file JSON dall'interfaccia. Conteneva informazioni come i numeri di versione, gli ID dei prodotti e le autorizzazioni permessicome ci si potrebbe aspettare, ma anche un'altra che non ci si aspetterebbe: un campo per un URL.

Non un URL qualsiasi, ovviamente, ma quello che punta a un sito (tipicamente funzionante) di download indipendentemente dal fatto che l'applicazione sia a pagamento o meno e in assenza di firma o verifica in quest'ultimo caso. Roussel ha poi contattato Huawei per informarla di questo bug potenzialmente grave e in grado di far diminuire gli introiti.

L'OEM ha risposto "5 ore dopo" - anche se, secondo quanto riferito, tramite un'e-mail "non criptata" - assicurando a Roussel che avrebbe investigato sulla potenziale vulnerabilità senza indugio e chiedendogli di non rivelarla in quel momento. Tuttavia, lo sviluppatore afferma che la vulnerabilità è rimasta senza patch - e ancora attiva - per le 13 settimane successive al suo rapporto iniziale del 17 febbraio 2022.

Roussel riferisce poi che Huawei ha lasciato passare la scadenza iniziale del 25 marzo senza fare nulla per risolvere il problema, riconoscendo e identificando la vulnerabilità il 18 maggio. Anche il dev ha aspettato fino a questa data per renderla pubblica, affermando all'epoca che il problema "non èstato risolto"

Ad oggi, non ci sono informazioni sull' exploit è stato effettivamente messo in atto, o su quali applicazioni a pagamento applicazioni a pagamento di versione a pagamento, o quali applicazioni siano state colpite.

Fonte(i)

Dylan Roussel

Articoli collegati

Il monitor MateView SE supporta AMD FreeSync e ha una frequenza di aggiornamento di 75 Hz. (Fonte: Huawei)

Huawei MateView SE: monitor economico presentato con supporto AMD FreeSync e frequenza di aggiornamento di 75 Hz 05/25/2022

Il MateBook D 14 2022 è un'alternativa più economica al MateBook 14 2022. (Fonte: Huawei)

Huawei MateBook D 14: svelato il refresh del 2022 con una scelta di processori Intel Core i5-1240P e Core i7-1260P 05/25/2022

Huawei vende il MateBook 14 2022 in due opzioni di colore e processore. (Fonte: Huawei)

Huawei MateBook 14 2022: annunciato un portatile da 14 pollici in due colori con processori Intel Alder Lake-P 05/25/2022

Huawei non ha ancora rivelato quando inizierà a vendere il Watch D in Europa. (Fonte: Huawei)

Huawei Watch D: Monitoraggio della pressione sanguigna e funzioni ECG in arrivo dopo il debutto dello smartwatch in Europa e nel Regno Unito 05/24/2022

Il MateBook 16s è disponibile nelle finiture grigio e argento. (Fonte: Huawei)

Huawei MateBook 16s: presentato un portatile da 16 pollici con display 3:2 e processore Intel Core i9-12900H che assomiglia al MacBook Pro 16 05/24/2022

I mini TV LED Huawei 2022 Smart Screen V Pro supportano VRR e ALLM. (Fonte: Huawei via JD Mall)

Huawei 2022 Smart Screen V Pro mini TV LED con VRR e ALLM 05/20/2022

È stato rilasciato un nuovo aggiornamento software HarmonyOS per lo smartwatch Huawei Watch GT 3 (Immagine: Huawei)

Il nuovo aggiornamento software di Huawei Watch GT 3 HarmonyOS introduce il portafoglio iOS e la funzione di salute respiratoria 05/20/2022

Il Watch D è uno dei primi smartwatch in grado di monitorare i livelli di pressione sanguigna senza richiedere un dispositivo separato. (Fonte: Huawei)

Huawei Watch D: In arrivo in Europa uno smartwatch con funzionalità di misurazione della pressione sanguigna e analisi ECG 05/19/2022

Il Huawei Band 7 sarà disponibile in quattro colori, tutti con un involucro più sottile e leggero rispetto al Band 6. (Fonte: Huawei)

Huawei Band 7: il fitness tracker arriva in Europa a 59,99 euro con 14 giorni di autonomia, un display AMOLED e un sensore SpO2 05/18/2022

Il Huawei Mate Xs 2 è disponibile nelle finiture bianca e nera. (Fonte: Huawei)

Huawei Mate Xs 2: presentato fuori dalla Cina lo smartphone pieghevole di punta a 1.999 euro con Snapdragon 888 4G e display a 120 Hz 05/18/2022

Il Watch FIT 2 costerà tra 149,99 e 229,99 euro, a seconda del modello. (Fonte: Huawei)

Huawei Watch FIT 2: presentato un fitness tracker aggiornato in tre stili a partire da 149,99 euro 05/18/2022

Apple potrebbe estromettere BOE com...

L'Enthusiast AMD Ryzen 7000 diventa...

Editor of the original article: Deirdre O Donnell - Senior Tech Writer - 7317 articles published on Notebookcheck since 2018

contact me via: LinkedIn

Translator: Ninh Ngoc Duy - Editorial Assistant - 386552 articles published on Notebookcheck since 2008

contact me via: Facebook

Please share our article, every link counts!

> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2022 05 > Huawei AppGallery: la segnalazione di uno sviluppatore di un bug che potrebbe consentire il download gratuito di applicazioni a pagamento non viene risolta per "settimane"

Deirdre O'Donnell, 2022-05-23 (Update: 2022-05-23)