Huawei уже несколько лет разрабатывает свой аналог программной экосистемы Google, и, помимо сервисов HMS, магазин приложений App Gallery является ключевой её составляющей. Как оказалось, в нём есть уязвимость, о которой компания знает уже три месяца, но всё ещё не исправила. Её обнаружил программист Дилан Руссель (Dylan Roussel) из 9To5Google.
Ещё в феврале этого года Дилан захотел разобраться в одном из API от Huawei, которое принимает имя пакета в качестве параметра и возвращает JSON-файл с подробной информацией о приложении. Программист выяснил, что среди прочего в нём хранится прямая ссылка на скачивание с параметром sign в конце — как оказалось, она позволяет загружать даже платные приложения совершенно беспрепятственно.
Huawei уже признала проблему, но до сих пор (на момент написания новости 18 мая) так и не исправила её. В 9To5Google отмечают, что сейчас единственный способ обезопасить свои платные приложения от бесплатного скачивания через AppGallery — использование DRM-защиты. Впрочем, крупные разработчики наверняка давно применяют её, ведь в противном случае их продукты могли бы свободно распространяться первыми купившими их.