La vulnerabilidad de Huawei AppGallery regala aplicaciones pagas gratis

Se ha descubierto una vulnerabilidad en AppGallery de Huawei que permite descargar aplicaciones de pago de forma gratuita. Huawei afirma que AppGallery es ahora la tercera tienda de aplicaciones más grande del mundo y atiende a más de 600 millones de usuarios de dispositivos Huawei en más de 170 países/regiones. Dylan Roussel, un desarrollador de Android, quería saber cómo funcionaban las API de Huawei. Descubrió que una API tomó el nombre del paquete de una aplicación como parámetro y devolvió un objeto JSON con los detalles de la aplicación. Al principio, lo probó con la propia aplicación AppGallery, que obviamente es gratuita. Uno de los campos devueltos era una URL funcional para descargar el APK de la aplicación. “Recuerdo que pensé que sería una locura si el campo también estuviera disponible para aplicaciones pagas”, escribió Roussel en una publicación de blog. “Entonces, mi siguiente paso fue intentar usar el nombre del paquete de una aplicación paga”. La descarga funcionó. Roussel luego se preguntó si alguna verificación de licencia inutilizaría la aplicación; pero pudo abrir y usar la aplicación paga con éxito. “Al publicar una aplicación en AppGallery, los desarrolladores esperan cierto nivel de seguridad”, agregó Roussel. “No debería ser posible descargar aplicaciones pagas de forma gratuita sin ninguna verificación o lo que sea”. Roussel informó sobre la vulnerabilidad y recibió una respuesta por correo electrónico solo cinco horas después. La respuesta decía que el problema sería investigado y solicitaba proporcionar un plan de divulgación. Roussel dijo que daría cinco semanas razonables y pidió que lo mantuvieran actualizado, a lo que Huawei accedió. La vulnerabilidad aún no se solucionó después de cinco semanas. Roussel dice que envió dos correos electrónicos de seguimiento: uno unos días antes de la fecha límite y otro unos días después. Afirma no haber recibido respuesta a ninguno de los dos. 13 semanas después de que se informara la vulnerabilidad a Huawei; la vulnerabilidad no se solucionó, ni Roussel recibió ninguna actualización de la empresa. Además, Huawei no le ha dicho a su comunidad de desarrolladores sobre la vulnerabilidad o si se han visto afectados. Huawei respondió a un correo electrónico enviado un día antes (17 de mayo de 2022) Roussel publicó su publicación revelando la vulnerabilidad. “Huawei reconoció la vulnerabilidad y le dio una identificación”, dijo Roussel. “También ofrecieron una recompensa, que rechacé por motivos personales”. La vulnerabilidad permanece sin parchear y será una preocupación para todos los desarrolladores que publiquen aplicaciones pagas en AppGallery. Nos comunicamos con Huawei para obtener un comentario sobre por qué la vulnerabilidad ha permanecido sin parches durante más de 13 semanas, por qué los desarrolladores no han sido alertados y si Huawei cuestiona las afirmaciones de Roussel sobre la falta de comunicación. Actualizaremos esta publicación si recibimos una respuesta de Huawei dando su versión de la historia. (Crédito de la imagen: Huawei)

Relacionada: AppGallery de Huawei casi duplicó sus distribuciones durante el año pasado

¿Está buscando renovar su estrategia de transformación digital? Obtenga más información sobre la Semana de la Transformación Digital que se lleva a cabo en Ámsterdam, California y Londres y descubra estrategias clave para que sus esfuerzos digitales sean un éxito. Etiquetas: androide, tienda de aplicaciones, appgallery, huawei, vulnerabilidad