Une faille permet de télécharger gratuitement des applications payantes sur l’AppGallery de Huawei

Mauvais timing pour Huawei

 

Un développeur français révèle une faille de sécurité dans l'AppGallery de Huawei, le magasin d'applications sur fabricant chinois : elle permet de télécharger gratuitement des applications payantes.

Mise à jour du 19 mai 2022 :

Dylan Roussel a mis à jour son article de blog en expliquant que « Huawei a communiqué un calendrier pour réparer l’AppGallery et s’est excusé pour la mauvaise communication et la réponse tardive ». Le développeur annonce que « la vulnérabilité devrait être corrigée pour tout le monde d’ici le 25 mai ».

Article original du 18 mai 2022 :

Si l’AppGallery n’est pas très utilisé en France, il l’est par des millions d’autres personnes ailleurs et pour cause : les services Google manquent à l’appel sur les smartphones de Huawei. Alors que la marque chinoise annonce aujourd’hui toute une flopée de produits, on apprend que le développeur français Dylan Roussel (à l’origine de Inware) vient de révéler une faille de sécurité sur l’AppGallery. Il a réussi à télécharger gratuitement des applications payantes.

Une découverte qui part d’une simple curiosité

Comme il le raconte dans l’article de blog qu’il a publié, Dylan Roussel a voulu étudier le fonctionnement de l’API de Huawei. En faisant une requête auprès de cette même API, il a pu recevoir différentes informations sur l’application demandée : version de l’application, logo, images, description, autorisations, date de sortie, prix, etc. Mais il y a autre chose : une URL. Il s’agit en fait du lien de téléchargement direct de l’application. Au départ, il avait testé cela avec l’AppGallery elle-même, donc rien d’alarmant.

Mais la curiosité étant toujours un vilain défaut, il s’est demandé s’il était possible de télécharger des applications payantes en passant par l’API de Huawei. Il a essayé avec une première application et a pu l’installer avec succès et l’utiliser sans problème. Pour confirmer son intuition, il a réessayé avec deux autres applications sans problème. Lorsqu’il a testé un jeu mobile, il n’a pas pu en profiter puisqu’il y avait une vérification de licence au lancement.

La faille est-elle utilisée ?

Comme l’écrit Dylan Roussel, également contributeur à 9to5Google, on ne sait pas si cette vulnérabilité est activement utilisée, mais « si c’est le cas, les développeurs et Huawei pourraient perdre une partie de leurs revenus ». Le développeur va même plus loin en disant que des pirates « pourraient utiliser l’API pour télécharger une grande quantité d’applications payantes dans un laps de temps relativement court sans avoir à les payer et sans même avoir besoin de passer par l’AppGallery ».

Huawei n’a pas corrigé la vulnérabilité de son AppGallery

Toujours dans son article de blog, Dylan Roussel raconte comment il a contacté Huawei pour informer les développeurs de l’entreprise de sa découverte. Huawei lui a déclaré qu’ils enquêteraient sur ce problème et lui ont demandé « de ne pas divulguer le problème avant la fin de l’analyse ». Plusieurs semaines après cet échange, rien n’a changé : Dylan Roussel écrit qu’il a envoyé deux autres emails, restés sans réponse.

Il avait donné à Huawei cinq semaines avant de dévoiler cette faille et leur avait accordé « quelques semaines de plus » : cela fait 90 jours qu’il a envoyé son premier email. Selon lui, « la vulnérabilité elle-même n’est pas corrigée et les applications payantes peuvent toujours être téléchargées gratuitement ». Le plus grave selon lui, c’est que « les développeurs utilisant les services de Huawei n’ont pas non plus été informés de cette vulnérabilité ».

Dylan Roussel déclare que « Huawei a reconnu la vulnérabilité » : une prime lui a été offerte, qu’il a annoncé avoir refusée.

Une information qui tombe assez mal pour Huawei, puisque le constructeur chinois a annoncé aujourd’hui de nouveaux produits : le smartphone pliant Mate Xs 2, les bracelets connectés Watch Fit 2, Band 7 et Watch D, la montre Watch GT 3 Pro ainsi que le traqueur d’activité S-Tag.

 

Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !

Huawei AppGallery

Huawei AppGallery

Télécharger gratuitement
Signaler une erreur dans le texte
Source : Dylan Roussel
Hugo Bernard

Apprenti journaliste

  • Google imagine le futur des notifications sous forme de « petits signaux » - Frandroid - Wasstel Mali

    […] lancement, son prix est réduit chez la Fnac 19 mai 202219/05/2022 • 17:13 Huawei Une faille permet de télécharger gratuitement des applications payantes sur l’Ap… 19 mai 202219/05/2022 • 17:05 Bons plans À moins de 400 €, ce TV 4K QLED de […]

  • Ce ne serait finalement pas l’année du Xiaomi Mix 5… mais bien du Mix Fold 2 - Frandroid - Wasstel Mali

    […] après avoir INSTALLÉ Windows 11 ! Les tendancesLes derniers articles Huawei Une faille permet de télécharger gratuitement des applications payantes sur l’Ap… 18 mai 202218/05/2022 • 17:12 Montres connectées Huawei Watch Fit 2 et Watch […]

  • Après l’iPhone 15, Apple basculerait aussi les AirPods en USB-C - Frandroid - Wasstel Mali

    […] après avoir INSTALLÉ Windows 11 ! Les tendancesLes derniers articles Huawei Une faille permet de télécharger gratuitement des applications payantes sur l’Ap… 18 mai 202218/05/2022 • 17:12 Montres connectées Huawei Watch Fit 2 et Watch […]

  • Flaw allows paid apps to be downloaded for free from Huawei's AppGallery - High Tech Ref

    […] Source link […]

  • Flaw allows paid apps to be downloaded for free from Huawei's AppGallery | TechBuzz | TechBuzz

    […] Source link […]

Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)

Gérer mes choix

Lectures liées

Humanoid Native
Au fait, à quoi ça sert vraiment un NAS ?

Au fait, à quoi ça sert vraiment un NAS ?

Huawei Mate X5 // Source : Huawei

Le Huawei Mate X5 officialisé : une feuille de route proche de Samsung et Apple

Huawei Mate 60 RS Ultimate Design // Source : Huawei

Huawei dévoile son Mate 60 RS Ultimate Design sans l’empreinte de Porsche

Dans les rues de Shanghai… des affiches de Huawei partout !

Huawei serait en train de planifier une offensive globale

Probable Huawei P70 // Source : Weibo

Huawei P70 Pro : un retour en force annoncé, voici ce que l’on sait

Concept de Huawei HarmonyOS sur smartphone // Source : XEETECHCARE

Comment la Chine veut remplacer Windows, iOS et Android avec HarmonyOS

Les derniers articles

Huawei

La dernière vidéo

Test du Xiaomi 14 Ultra : Il veut faire MIEUX qu'Apple et Samsung

Test du Xiaomi 14 Ultra : Il veut faire MIEUX qu'Apple et Samsung

Les tendances

Les derniers articles