Huawei: AppGallery-Lücke erlaubt Gratis-Download von Bezahl-Apps
Huaweis hauseigener App-Store AppGallery weist eine schwerwiegende Schwachstelle auf, die zumindest technisch versierten Personen den kostenlosen Download von eigentlich als zahlungspflichtiges Produkt vertriebenen Apps ermöglicht.
Wie der Android-Entwickler Dylan Roussel feststellte, liefert eine von Huawei bei der AppGallery genutzte Programmierschnittstelle (API) bei einer Anfrage zu jeder App auch immer den dazugehörigen Download-Link. Dabei erfolgt keine Prüfung, ob es sich um eine kostenpflichtige oder kostenlose App handelt, so dass theoretisch auch alle Bezahl-Apps einfach heruntergeladen werden können.
Roussel zufolge erfolgt bei der Abfrage von App-Downloads über die fehlerhafte API keinerlei Prüfung, ob der Nutzer eine Lizenz für die jeweilige App erworben hat. Stattdessen wird einfach ein Download-Link zur Verfügung gestellt. Nach ausführlichen Tests bestätigte sich der erste Eindruck des Entwicklers, laut dem Huawei hier ein Sicherheitsproblem hat.
Roussel entschied sich nach eigenen Angaben, auch weiterhin auf eine Veröffentlichung seiner Erkenntnisse zu der Schwachstelle zu verzichten, da die fünfwöchige Frist unter Umständen nicht ausgereicht haben könnte. Mittlerweile sind aber bereits 13 Wochen bzw. 90 Tage seit der Entdeckung der Schwachstelle und der ersten Kontaktaufnahme vergangen.
Der Entwickler kontaktierte Huawei jüngst erneut, woraufhin das Unternehmen die Existenz der Schwachstelle auch bestätigte und ihm sogar eine Belohnung für die Entdeckung anbot. Derzeit besteht die Schwachstelle weiter, so dass theoretisch auch weiterhin kostenlose Downloads von kostenpflichtigen Apps aus der Huawei AppGallery möglich sind.
Siehe auch:
Roussel zufolge erfolgt bei der Abfrage von App-Downloads über die fehlerhafte API keinerlei Prüfung, ob der Nutzer eine Lizenz für die jeweilige App erworben hat. Stattdessen wird einfach ein Download-Link zur Verfügung gestellt. Nach ausführlichen Tests bestätigte sich der erste Eindruck des Entwicklers, laut dem Huawei hier ein Sicherheitsproblem hat.
In 13 Wochen hat sich nichts geändert
Das Unternehmen wurde von Roussel bereits im Februar informiert, woraufhin Huawei ihn darum bat, zunächst keine Veröffentlichungen zu dem Thema vorzunehmen. Man einigte sich darauf, dass Huawei fünf Wochen Zeit haben sollte, um das Problem zu untersuchen und gegebenenfalls zu beheben. Doch nach Ablauf der Frist bestand das Problem weiterhin und Huawei reagierte nicht mehr auf den Versuch, mit dem Konzern Kontakt aufzunehmen.Roussel entschied sich nach eigenen Angaben, auch weiterhin auf eine Veröffentlichung seiner Erkenntnisse zu der Schwachstelle zu verzichten, da die fünfwöchige Frist unter Umständen nicht ausgereicht haben könnte. Mittlerweile sind aber bereits 13 Wochen bzw. 90 Tage seit der Entdeckung der Schwachstelle und der ersten Kontaktaufnahme vergangen.
Der Entwickler kontaktierte Huawei jüngst erneut, woraufhin das Unternehmen die Existenz der Schwachstelle auch bestätigte und ihm sogar eine Belohnung für die Entdeckung anbot. Derzeit besteht die Schwachstelle weiter, so dass theoretisch auch weiterhin kostenlose Downloads von kostenpflichtigen Apps aus der Huawei AppGallery möglich sind.
Siehe auch:
- Android: Huawei will Google-Apps in die eigene AppGallery bringen
- USA wollen Huawei & Co. Zugriff auf Smartphone-Apps verwehren
- Honor 9X Pro & View 30 Pro kommen mit AppGallery nach Deutschland
- Google zieht nach: 900.000 Apps vor dem Rauswurf, da Updates fehlen
- App-Store-Empörung: Apple greift in die Preise von Entwicklern ein
Thema:
Das Google Pixel 8 im Preisvergleich
Hy-commerce NEU 
Expert.de 
TechnikDirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
-
Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
-
Magcubic HY310: Billiger Beamer versagt im Test bei Bild und Ton
-
Mobiler Beamer oder XR-Brille? - Test zeigt deutlichen Sieger
-
Magcubic HY300F: Ballförmiger Beamer ist für den WM-Spaß ungeeignet
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen