reklama

Obchod s aplikacemi od Huawei dovoluje stažení placené aplikace bez zaplacení

Obchod s aplikacemi od Huawei dovoluje stažení placené aplikace bez zaplacení
2022-05-20T09:30:57+02:00
• 20. 5. 2022

Zdroj: Huawei

Zpravidla výrobci mobilních telefonů nabízejí nějaké centrum aplikací a her, odkud mohou uživatelé i nakupovat tituly. Google má toto poměrně dobře podchycené, ale jsou zde společnosti, které nabízí své vlastní řešení, a některé musí nabízet, jelikož nemají dostupný Obchod Play. Jednou takovou je i Huawei. Od uvalení sankcí ze strany USA firma investovala nemalé finanční prostředky do AppGallery, tedy obchodu s aplikacemi a hrami, přičemž značná část financí putovala i na podporu vývojářů. Bohužel AppGallery má jeden nepříjemný problém.

I bez zaplacenĂ­

Zatímco aplikace zdarma nebo takové, které obsahují placení přímo v aplikaci, případně jsou založené na předplatném, se nový problém netýká, tak placené aplikace nejsou až tak dobře zabezpečeny, jak by se mohlo zdát. Vývojář Dylan Roussel publikoval svou první aplikaci do AppGallery a začal se rozhlížet, jaké API má vlastně Huawei a samotná aplikace AppGallery.

Po chvíli pátrání došel na jedno API, kam stačilo odeslat název balíčku a vrátila se datová struktura obsahující podrobnosti. Součástí bylo i odkaz na stažení aplikace. Tuto metodu otestoval i na placené aplikaci a také jedné hře, přičemž se mu dostalo podobné odpovědi. Při zadání URL adresy do prohlížeče došlo ke stažení. Nebyla vyžadována jakákoliv kontrola a ačkoliv samotná adresa obsahala parametry navíc, evidentně nesloužily pro ověření zaplacení za aplikaci.

appgallery huawei mini 1059x974x

Zdroj: Huawei

Dylan Roussel informoval Huawei o tomto problému. Místo toho, aby společnost ihned zakročila a provedla rychlou opravu, tak jsme se dočkali oznámení, že tento nedostatek bude vyřešen do 25. května. Je ale otázkou, jestli jde o opravu zabezpečení, nebo zde nikdy vlastně nebylo a je nutné vyvinout řešení.

Vzhledem k tomu, že se jedná o poměrně klíčovou funkci zabezpečení placených aplikací a her, naskýtá se otázka, jestli API nedovoluje i jiné věci, případně jestli nejsou obsaženy jiné zranitelnosti. Asi se nyní nejen vývojáři zaměří na prozkoumávání API společnosti Huawei. Nedivili bychom se, kdyby došlo k dalšímu podobnému objevu v dohledné době.

Zdroje: evowizz.dev, 9to5google.com, androidpolice.com

reklama
reklama

Přemysl Vaculík

Androiďák, šéfredaktor, tvůrce @dotekomanie a +dotekomanie.cz. Také milovník adrenalinových sportů, na které nemá čas.

Komentáře

Dotekománie.cz

Přidat komentář

Pro komentování se musíte přihlásit

TmavĂ˝ reĹľim