Programista Android Dylan Russell powiedział na swoim blogu o luce w AppGallery App Store, która jest wykorzystywana w niektórych smartfonach Huawei i Honor jako alternatywa dla Google Play. Interfejs API usługi pozwala uzyskać linki do pobrania APK zarówno płatnych, jak i bezpłatnych aplikacji, bez konieczności logowania się na swoje konto.
Aby upewnić się, że nie jest to kwestia licencji dla jednej konkretnej aplikacji, powtórzył procedurę z kilkoma innymi programami – i wynik był identyczny. Spośród testowanych tylko jedna gra posiadała ochronę, która uniemożliwiała mu korzystanie z otrzymanej w ten sposób aplikacji.
Szkodzi to nie tylko zarobkom Huawei i programistów, ale także zwykłym użytkownikom. Ta luka może ułatwić życie oszustom, pozwalając na przykład na pobranie kodu popularnej aplikacji, zmodyfikowanie go i rozpowszechnienie w sieci pliku z wirusami lub trackerami pod przykrywką darmowej wersji zhakowanej.
Zachęcamy programistów publikujących w sklepie Huawei App Store do stosowania dodatkowych środków bezpieczeństwa, takich jak usługa AppGallery DRM, która sprawdza przy każdym uruchomieniu aplikacji, czy została kupiona przez tego użytkownika. Jeśli zakup nie zostanie potwierdzony, użytkownik zostaje wysłany do sklepu. Jest to prosta metoda zapobiegania przekazaniu zakupionego programu innym użytkownikom.
Russell zauważył, że znalazł tę lukę i ostrzegł o niej Huawei w lutym, ale nie otrzymał odpowiedzi, po czym postanowił upublicznić problem.
