Lỗ hổng AppGallery Huawei tải xuống miễn phí các ứng dụng trải phí.

VNZ-NEWS
Vn-Z.vn Ngày 19 tháng 05 năm 2022, kể từ lệnh cấm của Mỹ, những điện thoại thông minh mới của Huawei đều mất quyền cung cấp dịch vụ GMS của Google. Do đó, Huawei phải dành nhiều nguồn lực hơn để tự phát triển Huawei Mobile Services (HMS) kho phần mềm và dịch vụ hỗ trợ cho các sản phẩm điện thoại của chính mình, bao gồm cả Huawei AppGallery.

Tầm quan trọng của cửa hàng ứng dụng AppGallery không chỉ là quảng bá phần mềm mà còn tạo ra doanh thu cho các trò chơi trả phí. Hiện tại một nhà phát triển đã phát hiện ra lỗ hổng trong AppGallery của Huawei, cho phép người dùng tải xuống các ứng dụng trả phí một cách miễn phí.

Theo chuyên tra phát triển Android @Dylan Roussel, anh này đã phát hiện ra lỗ hổng trong khi khám phá API cửa hàng AppGallery, qua đó Huawei trả về (tương ứng với yêu cầu dữ liệu) liên kết tải xuống APK cho các ứng dụng miễn phí và trả phí, trong khi API cơ bản của Huawei AppGallery không cung cấp cho các ứng dụng trả phí bất kỳ biện pháp bảo vệ nào .


Huawei-AppGallery-bug.png


Dylan Roussel đã thử và nhận thấy rằng người dùng cần không phải trả tiền cho một ứng dụng cụ thể hoặc thậm chí đăng nhập vào tài khoản để có được liên kết tải xuống hợp lệ cho một ứng dụng trả phí. Anh cho biết, lỗ hổng này có thể giúp người khác dễ dàng tải xuống ứng dụng vi phạm bản quyền, cài đặt và sử dụng chúng mà không gặp bất kỳ rắc rối nào.

Để đảm bảo đây không phải là vấn đề xác minh giấy phép cho một ứng dụng, anh ấy cũng lặp lại quy trình cho nhiều ứng dụng - hóa ra các ứng dụng khác cũng phản hồi như vậy. Như vậy thực sựa lỗ hổng nằm ở phía Huawei.

Ban đầu Dylan Rousse phát hiện ra lỗ hổng bảo mật vào tháng 2 năm 2022, sau đó anh đã liên hệ với Huawei để phản hồi. Theo quy định của ngành, anh ấy đã dành cho Huawei 5 tuần để sửa chữa lỗ hổng bảo mật. Huawei cũng đã biết về lỗ hổng bảo mật và thừa nhận nó.

Sau 13 tuần, Dylan Rousse quyết định công khai phát hiện này, mặc dù Huawei vẫn chưa công bố báo cáo về việc liệu lỗ hổng bảo mật đã được sửa hay chưa hoặc đưa ra lịch trình sửa chữa.

Nếu bạn là nhà phát triển có ứng dụng trả phí trên Huawei AppGallery, bạn nên cân nhắc sử dụng phương pháp bảo vệ bổ sung cho phần mềm của mình, chẳng hạn như dịch vụ SDK DRM của AppGallery. Điều này sẽ kiểm tra xem người dùng đã mua ứng dụng của bạn ngay khi họ mở ứng dụng hay chưa , biện pháp này cũng đảm bảo rằng ứng dụng không bị phân phối lại cho người khác.


Vn-Z.vn team tổng hợp