Huawei: AppGallery-Lücke erlaubt Gratis-Download von Bezahl-Apps

Huaweis hauseigener App-Store AppGallery weist eine schwerwiegende Schwachstelle auf, die zumindest technisch versierten Personen den kostenlosen Download von eigentlich als zahlungspflichtiges Produkt vertriebenen Apps ermöglicht.
Betriebssystem, Spiele, Huawei, Software, Apps, Google Android, Programme, Applikationen, AppGallery
Huawei
Wie der Android-Entwickler Dylan Roussel feststellte, liefert eine von Huawei bei der AppGallery genutzte Programmierschnittstelle (API) bei einer Anfrage zu jeder App auch immer den dazugehörigen Download-Link. Dabei erfolgt keine Prüfung, ob es sich um eine kostenpflichtige oder kostenlose App handelt, so dass theoretisch auch alle Bezahl-Apps einfach heruntergeladen werden können.

Roussel zufolge erfolgt bei der Abfrage von App-Downloads über die fehlerhafte API keinerlei Prüfung, ob der Nutzer eine Lizenz für die jeweilige App erworben hat. Stattdessen wird einfach ein Download-Link zur Verfügung gestellt. Nach ausführlichen Tests bestätigte sich der erste Eindruck des Entwicklers, laut dem Huawei hier ein Sicherheitsproblem hat.

In 13 Wochen hat sich nichts geändert

Das Unternehmen wurde von Roussel bereits im Februar informiert, woraufhin Huawei ihn darum bat, zunächst keine Veröffentlichungen zu dem Thema vorzunehmen. Man einigte sich darauf, dass Huawei fünf Wochen Zeit haben sollte, um das Problem zu untersuchen und gegebenenfalls zu beheben. Doch nach Ablauf der Frist bestand das Problem weiterhin und Huawei reagierte nicht mehr auf den Versuch, mit dem Konzern Kontakt aufzunehmen.

Roussel entschied sich nach eigenen Angaben, auch weiterhin auf eine Veröffentlichung seiner Erkenntnisse zu der Schwachstelle zu verzichten, da die fünfwöchige Frist unter Umständen nicht ausgereicht haben könnte. Mittlerweile sind aber bereits 13 Wochen bzw. 90 Tage seit der Entdeckung der Schwachstelle und der ersten Kontaktaufnahme vergangen.

Der Entwickler kontaktierte Huawei jüngst erneut, woraufhin das Unternehmen die Existenz der Schwachstelle auch bestätigte und ihm sogar eine Belohnung für die Entdeckung anbot. Derzeit besteht die Schwachstelle weiter, so dass theoretisch auch weiterhin kostenlose Downloads von kostenpflichtigen Apps aus der Huawei AppGallery möglich sind.

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over EarDoqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99
Im Preisvergleich ab
43,99
Blitzangebot-Preis
34,99
Ersparnis zu Amazon 10% oder 4
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!