Дыра в Huawei AppGallery позволяет скачивать платные приложения бесплатно

Huawei уже несколько лет разрабатывает свой аналог программной экосистемы Google, и, помимо сервисов HMS, магазин приложений App Gallery является ключевой её составляющей. Как оказалось, в нём есть уязвимость, о которой компания знает уже три месяца, но всё ещё не исправила. Её обнаружил программист Дилан Руссель (Dylan Roussel) из 9To5Google.

Ещё в феврале этого года Дилан захотел разобраться в одном из API от Huawei, которое принимает имя пакета в качестве параметра и возвращает JSON-файл с подробной информацией о приложении. Программист выяснил, что среди прочего в нём хранится прямая ссылка на скачивание с параметром sign в конце — как оказалось, она позволяет загружать даже платные приложения совершенно беспрепятственно.

Huawei уже признала проблему, но до сих пор (на момент написания новости 18 мая) так и не исправила её. В 9To5Google отмечают, что сейчас единственный способ обезопасить свои платные приложения от бесплатного скачивания через AppGallery — использование DRM-защиты. Впрочем, крупные разработчики наверняка давно применяют её, ведь в противном случае их продукты могли бы свободно распространяться первыми купившими их.