Huawei: AppGallery-Lücke erlaubt Gratis-Download von Bezahl-Apps
Huaweis hauseigener App-Store AppGallery weist eine schwerwiegende Schwachstelle auf, die zumindest technisch versierten Personen den kostenlosen Download von eigentlich als zahlungspflichtiges Produkt vertriebenen Apps ermöglicht.
Wie der Android-Entwickler Dylan Roussel feststellte, liefert eine von Huawei bei der AppGallery genutzte Programmierschnittstelle (API) bei einer Anfrage zu jeder App auch immer den dazugehörigen Download-Link. Dabei erfolgt keine Prüfung, ob es sich um eine kostenpflichtige oder kostenlose App handelt, so dass theoretisch auch alle Bezahl-Apps einfach heruntergeladen werden können.
Roussel zufolge erfolgt bei der Abfrage von App-Downloads über die fehlerhafte API keinerlei Prüfung, ob der Nutzer eine Lizenz für die jeweilige App erworben hat. Stattdessen wird einfach ein Download-Link zur Verfügung gestellt. Nach ausführlichen Tests bestätigte sich der erste Eindruck des Entwicklers, laut dem Huawei hier ein Sicherheitsproblem hat.
Roussel entschied sich nach eigenen Angaben, auch weiterhin auf eine Veröffentlichung seiner Erkenntnisse zu der Schwachstelle zu verzichten, da die fünfwöchige Frist unter Umständen nicht ausgereicht haben könnte. Mittlerweile sind aber bereits 13 Wochen bzw. 90 Tage seit der Entdeckung der Schwachstelle und der ersten Kontaktaufnahme vergangen.
Der Entwickler kontaktierte Huawei jüngst erneut, woraufhin das Unternehmen die Existenz der Schwachstelle auch bestätigte und ihm sogar eine Belohnung für die Entdeckung anbot. Derzeit besteht die Schwachstelle weiter, so dass theoretisch auch weiterhin kostenlose Downloads von kostenpflichtigen Apps aus der Huawei AppGallery möglich sind.
Siehe auch:
Roussel zufolge erfolgt bei der Abfrage von App-Downloads über die fehlerhafte API keinerlei Prüfung, ob der Nutzer eine Lizenz für die jeweilige App erworben hat. Stattdessen wird einfach ein Download-Link zur Verfügung gestellt. Nach ausführlichen Tests bestätigte sich der erste Eindruck des Entwicklers, laut dem Huawei hier ein Sicherheitsproblem hat.
In 13 Wochen hat sich nichts geändert
Das Unternehmen wurde von Roussel bereits im Februar informiert, woraufhin Huawei ihn darum bat, zunächst keine Veröffentlichungen zu dem Thema vorzunehmen. Man einigte sich darauf, dass Huawei fünf Wochen Zeit haben sollte, um das Problem zu untersuchen und gegebenenfalls zu beheben. Doch nach Ablauf der Frist bestand das Problem weiterhin und Huawei reagierte nicht mehr auf den Versuch, mit dem Konzern Kontakt aufzunehmen.Roussel entschied sich nach eigenen Angaben, auch weiterhin auf eine Veröffentlichung seiner Erkenntnisse zu der Schwachstelle zu verzichten, da die fünfwöchige Frist unter Umständen nicht ausgereicht haben könnte. Mittlerweile sind aber bereits 13 Wochen bzw. 90 Tage seit der Entdeckung der Schwachstelle und der ersten Kontaktaufnahme vergangen.
Der Entwickler kontaktierte Huawei jüngst erneut, woraufhin das Unternehmen die Existenz der Schwachstelle auch bestätigte und ihm sogar eine Belohnung für die Entdeckung anbot. Derzeit besteht die Schwachstelle weiter, so dass theoretisch auch weiterhin kostenlose Downloads von kostenpflichtigen Apps aus der Huawei AppGallery möglich sind.
Siehe auch:
- Android: Huawei will Google-Apps in die eigene AppGallery bringen
- USA wollen Huawei & Co. Zugriff auf Smartphone-Apps verwehren
- Honor 9X Pro & View 30 Pro kommen mit AppGallery nach Deutschland
- Google zieht nach: 900.000 Apps vor dem Rauswurf, da Updates fehlen
- App-Store-Empörung: Apple greift in die Preise von Entwicklern ein
Thema:
Das Google Pixel 8 im Preisvergleich
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
- MatePad Pro Max: Huaweis neues Premium-Tablet im Test
- Pixel 10 vs. iPhone 17e: Die beiden Budget-Premiumgeräte im Vergleich
- Oscal PV800 Pro: Günstiger, heller Beamer mit Kompromissen im Test
- ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
- Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- E-Auto-Flaute: Porsche vermisst plötzlich den Verbrenner-Macan
- Tyrannosaurus Rex Gus: Private Versteigerung bedroht die Wissenschaft
- Anständige Nutzer trauen sich kaum noch, Smart-Glasses zu tragen
- Gratis-Monate & Dauerrabatt: 75 GB O2-Tarif für unter 10 Euro
- Kult-Automat von 1981: Lego bringt Donkey Kong Arcade zurück
- Microsoft-Chef warnt: KI-Modelle stehlen heimlich Firmenwissen
- US-Regierung: Achtung, die Russen wollen eure Router übernehmen!
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen