Huawei: AppGallery-Lücke erlaubt Gratis-Download von Bezahl-Apps
Dylan Roussel feststellte, liefert eine von Huawei bei der AppGallery genutzte Programmierschnittstelle (API) bei einer Anfrage zu jeder App auch immer den dazugehörigen Download-Link. Dabei erfolgt keine Prüfung, ob es sich um eine kostenpflichtige oder kostenlose App handelt, so dass theoretisch auch alle Bezahl-Apps einfach heruntergeladen werden können.
Roussel zufolge erfolgt bei der Abfrage von App-Downloads über die fehlerhafte API keinerlei Prüfung, ob der Nutzer eine Lizenz für die jeweilige App erworben hat. Stattdessen wird einfach ein Download-Link zur Verfügung gestellt. Nach ausführlichen Tests bestätigte sich der erste Eindruck des Entwicklers, laut dem Huawei hier ein Sicherheitsproblem hat.
Roussel entschied sich nach eigenen Angaben, auch weiterhin auf eine Veröffentlichung seiner Erkenntnisse zu der Schwachstelle zu verzichten, da die fünfwöchige Frist unter Umständen nicht ausgereicht haben könnte. Mittlerweile sind aber bereits 13 Wochen bzw. 90 Tage seit der Entdeckung der Schwachstelle und der ersten Kontaktaufnahme vergangen.
Der Entwickler kontaktierte Huawei jüngst erneut, woraufhin das Unternehmen die Existenz der Schwachstelle auch bestätigte und ihm sogar eine Belohnung für die Entdeckung anbot. Derzeit besteht die Schwachstelle weiter, so dass theoretisch auch weiterhin kostenlose Downloads von kostenpflichtigen Apps aus der Huawei AppGallery möglich sind.
Siehe auch:
Wie der Android-Entwickler Roussel zufolge erfolgt bei der Abfrage von App-Downloads über die fehlerhafte API keinerlei Prüfung, ob der Nutzer eine Lizenz für die jeweilige App erworben hat. Stattdessen wird einfach ein Download-Link zur Verfügung gestellt. Nach ausführlichen Tests bestätigte sich der erste Eindruck des Entwicklers, laut dem Huawei hier ein Sicherheitsproblem hat.
In 13 Wochen hat sich nichts geändert
Das Unternehmen wurde von Roussel bereits im Februar informiert, woraufhin Huawei ihn darum bat, zunächst keine Veröffentlichungen zu dem Thema vorzunehmen. Man einigte sich darauf, dass Huawei fünf Wochen Zeit haben sollte, um das Problem zu untersuchen und gegebenenfalls zu beheben. Doch nach Ablauf der Frist bestand das Problem weiterhin und Huawei reagierte nicht mehr auf den Versuch, mit dem Konzern Kontakt aufzunehmen.Roussel entschied sich nach eigenen Angaben, auch weiterhin auf eine Veröffentlichung seiner Erkenntnisse zu der Schwachstelle zu verzichten, da die fünfwöchige Frist unter Umständen nicht ausgereicht haben könnte. Mittlerweile sind aber bereits 13 Wochen bzw. 90 Tage seit der Entdeckung der Schwachstelle und der ersten Kontaktaufnahme vergangen.
Der Entwickler kontaktierte Huawei jüngst erneut, woraufhin das Unternehmen die Existenz der Schwachstelle auch bestätigte und ihm sogar eine Belohnung für die Entdeckung anbot. Derzeit besteht die Schwachstelle weiter, so dass theoretisch auch weiterhin kostenlose Downloads von kostenpflichtigen Apps aus der Huawei AppGallery möglich sind.
Siehe auch:
- Android: Huawei will Google-Apps in die eigene AppGallery bringen
- USA wollen Huawei & Co. Zugriff auf Smartphone-Apps verwehren
- Honor 9X Pro & View 30 Pro kommen mit AppGallery nach Deutschland
- Google zieht nach: 900.000 Apps vor dem Rauswurf, da Updates fehlen
- App-Store-Empörung: Apple greift in die Preise von Entwicklern ein
Thema:
Das Google Pixel 8 im Preisvergleich
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Neue Android-Bilder
Android-Videos
- Samsung Galaxy Tab A9 im Test: Kompaktes Tablet für Einsteiger
- Honor Pad 9 ausgepackt: Erste Eindrücke zum neuen 12-Zoll-Tablet
- JRNY Fitness-App im Test: Work-out-Erfolge auf neuem Level
- Super Bowl 2024: Oreo zeigt eine Welt, in der ein Keks alles verändert
- Lenovo Tab M11: Erste Eindrücke zum Einsteiger-Tablet mit Stift
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99 €
Im Preisvergleich ab
43,99 €
Blitzangebot-Preis
34,99 €
Ersparnis zu Amazon 10% oder 4 €
Neue Nachrichten
- Twitch verbietet "Butt-Streams" - ja, hier ist "Spielen auf Pos" gemeint
- KI-Hype lässt den Kampf um IT-Fachkräfte völlig eskalieren
- Star Trek 4 kommt doch - wird aber der letzte Teil der Reboot-Filme
- Xbox-Leak: Eine Xbox Series X in weiß und ohne Disk-Laufwerk
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Optionales Windows 11-Update: Neue Funktion und Fehlerbehebungen
- Neue FritzBox 6670 Cable bekommt ein erstes Wartungs-Update
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen