В магазине приложений Huawei AppGallery обнаружили уязвимость, которая дает возможность скачивать платные приложения и игры бесплатно. Об этом рассказал программист Дилан Руссель.
Русселю захотелось посмотреть, каким образом функционирует API маркетплейса, в ходе чего он написал для него собственный API, который возвращает JSON-файл с деталями приложения. Для эксперимента он взял бесплатную программу и в ней прямую ссылку на загрузку, такую же ссылку он обнаружил у платного софта.
Что любопытно, ссылка для загрузки платного приложения не имела никакой дополнительной защиты. Он без проблем сумел установить программу и она работала на устройстве будто была куплена. Аналогичную операцию энтузиаст провернул с иными приложениями.
Программист написал об обнаруженной ошибке компании Huawei ещё 17 февраля нынешнего года. Компания ответила и пообещала рассмотреть проблему. Прошло три месяца, однако Huawei до сих пор не исправила уязвимость, хоть и признала её наличие.
