Zdroj: Huawei
Domů » Články »
Zpravidla výrobci mobilních telefonů nabízejí nějaké centrum aplikací a her, odkud mohou uživatelé i nakupovat tituly. Google má toto poměrně dobře podchycené, ale jsou zde společnosti, které nabízí své vlastní řešení, a některé musí nabízet, jelikož nemají dostupný Obchod Play. Jednou takovou je i Huawei. Od uvalení sankcí ze strany USA firma investovala nemalé finanční prostředky do AppGallery, tedy obchodu s aplikacemi a hrami, přičemž značná část financí putovala i na podporu vývojářů. Bohužel AppGallery má jeden nepříjemný problém.
I bez zaplacení
Zatímco aplikace zdarma nebo takové, které obsahují placení přímo v aplikaci, případně jsou založené na předplatném, se nový problém netýká, tak placené aplikace nejsou až tak dobře zabezpečeny, jak by se mohlo zdát. Vývojář Dylan Roussel publikoval svou první aplikaci do AppGallery a začal se rozhlížet, jaké API má vlastně Huawei a samotná aplikace AppGallery.
Po chvíli pátrání došel na jedno API, kam stačilo odeslat název balíčku a vrátila se datová struktura obsahující podrobnosti. Součástí bylo i odkaz na stažení aplikace. Tuto metodu otestoval i na placené aplikaci a také jedné hře, přičemž se mu dostalo podobné odpovědi. Při zadání URL adresy do prohlížeče došlo ke stažení. Nebyla vyžadována jakákoliv kontrola a ačkoliv samotná adresa obsahala parametry navíc, evidentně nesloužily pro ověření zaplacení za aplikaci.
Zdroj: Huawei
Dylan Roussel informoval Huawei o tomto problému. Místo toho, aby společnost ihned zakročila a provedla rychlou opravu, tak jsme se dočkali oznámení, že tento nedostatek bude vyřešen do 25. května. Je ale otázkou, jestli jde o opravu zabezpečení, nebo zde nikdy vlastně nebylo a je nutné vyvinout řešení.
Vzhledem k tomu, že se jedná o poměrně klíčovou funkci zabezpečení placených aplikací a her, naskýtá se otázka, jestli API nedovoluje i jiné věci, případně jestli nejsou obsaženy jiné zranitelnosti. Asi se nyní nejen vývojáři zaměří na prozkoumávání API společnosti Huawei. Nedivili bychom se, kdyby došlo k dalšímu podobnému objevu v dohledné době.
Zdroje: evowizz.dev, 9to5google.com, androidpolice.com
Domů » Články »
Google zakročil proti instalování Android aplikací z neznámých zdrojů
Youtube Music konečně podporuje streamování na hodinkách
Stiknutím klávesy J se přesunete na starší článek, klávesa K vás přesune na novější.
💡 Získejte Dotekománie Premium a využijte web naplno.
Přemysl Vaculík
Šéfredaktor, tvůrce dotekomanie.cz, androiďák, podcaster v PZL. Také milovník adrenalinových sportů, na které nemá čas.
Komentáře