Дыра в фирменном сторе Huawei позволяет бесплатно скачивать платные приложения

AppGallery, как и другие маркетплейсы для продуктов под Android, позволяет скачивать платные приложения в обход Play Store, который с недавнего времени по известным причинам ввёл ограничения для России и Беларуси. К слову, самой Huawei из-за американских санкций запрещено использовать сервисы Google.

Новый эксплойт нашёл Android-разработчик Дилан Руссел, а проблема кроется в API магазина. Благодаря ей можно без оплаты и даже без входа в аккаунт получить ссылку на нужный загрузочный файл платного приложения.

О находке Руссел сообщил в Huawei ещё 17 февраля. Там вскоре ответили, что изучат вопрос, и договорились, что он не будет предавать уязвимость огласке в течение 5 недель. За это время её так и не устранили, а на емейлы Рассела перестали отвечать. Спустя 90 дней после изначального обращения он решил, что пора рассказать о ней миру.

После этого Huawei признала баг. Исправление должно выйти 25 мая, а пока обезопасить свои платные приложения от бесплатного скачивания из AppGallery разработчики могут с помощью DRM-защиты. Русселу было предложено вознаграждение, но он от денег отказался.