Une vulnérabilité a été découverte dans Huawei Galerie d’applications qui permet de télécharger gratuitement des applications payantes.
Huawei affirme que AppGallery est maintenant le troisième plus grand magasin d’applications dans le monde, desservant plus de 600 millions d’utilisateurs d’appareils Huawei dans plus de 170 pays/régions.
Dylan Roussel, un développeur Android, voulait savoir comment fonctionnaient les API de Huawei. Il a découvert qu’une API prenait le nom du package d’une application comme paramètre et renvoyait un objet JSON avec les détails de l’application.
Au début, il l’a testé avec l’application AppGallery elle-même, qui est évidemment gratuite. L’un des champs renvoyés était une URL de travail pour télécharger l’APK de l’application.
« Je me souviens m’être dit que ce serait fou si le champ était également disponible pour les applications payantes », a écrit Roussel dans un article de blog. « Donc, ma prochaine étape a été d’essayer d’utiliser le nom du package d’une application payante. »
Le téléchargement a fonctionné. Roussel s’est alors demandé si une vérification de licence rendrait l’application inutilisable ; mais il a pu ouvrir et utiliser l’application payante avec succès.
« Lors de la publication d’une application sur l’AppGallery, les développeurs s’attendent à un certain niveau de sécurité », a ajouté Roussel. « Il ne devrait pas être possible de télécharger gratuitement des applications payantes sans aucune vérification ou quoi que ce soit. »
Roussel a signalé la vulnérabilité et a reçu une réponse par e-mail cinq heures plus tard. La réponse indiquait que la question ferait l’objet d’une enquête et demandait de fournir un plan de divulgation. Roussel a déclaré qu’il accorderait cinq semaines raisonnables et a demandé à être tenu au courant, ce que Huawei a accepté.
La vulnérabilité n’était toujours pas corrigée après cinq semaines. Roussel dit avoir envoyé deux courriels de suivi : un quelques jours avant la date limite et un quelques jours après. Il affirme n’avoir reçu aucune réponse ni à l’un ni à l’autre.
13 semaines après que la vulnérabilité a été signalée à Huawei ; la vulnérabilité n’a pas été corrigée et Roussel n’a reçu aucune mise à jour de la société. De plus, Huawei n’a pas informé sa communauté de développeurs de la vulnérabilité ni s’ils ont été affectés.
Huawei a répondu à un e-mail envoyé un jour avant (17 mai 2022) Roussel a publié son message divulguant la vulnérabilité.
« Huawei a reconnu la vulnérabilité et lui a donné un identifiant », a déclaré Roussel. « Ils ont également offert une prime, que j’ai refusée pour des raisons personnelles. »
La vulnérabilité reste non corrigée et préoccupera tous les développeurs publiant des applications payantes sur AppGallery.
Nous avons contacté Huawei pour savoir pourquoi la vulnérabilité n’a pas été corrigée depuis plus de 13 semaines, pourquoi les développeurs n’ont pas été alertés et si Huawei conteste les affirmations de Roussel concernant un manque de communication.
Nous mettrons à jour ce message si nous recevons une réponse de Huawei donnant sa version de l’histoire.
(Crédit image : Huawei)
Lié: L’AppGallery de Huawei a presque doublé ses distributions au cours de la dernière année
Vous souhaitez repenser votre stratégie de transformation digitale ? En savoir plus sur Semaine de la transformation numérique qui se déroulent à Amsterdam, en Californie et à Londres et découvrez les stratégies clés pour faire de vos efforts numériques un succès.