Mise à jour du 19 mai 2022 :
Dylan Roussel a mis à jour son article de blog en expliquant que « Huawei a communiqué un calendrier pour réparer l’AppGallery et s’est excusé pour la mauvaise communication et la réponse tardive ». Le développeur annonce que « la vulnérabilité devrait être corrigée pour tout le monde d’ici le 25 mai ».
Article original du 18 mai 2022 :
Si l’AppGallery n’est pas très utilisé en France, il l’est par des millions d’autres personnes ailleurs et pour cause : les services Google manquent à l’appel sur les smartphones de Huawei. Alors que la marque chinoise annonce aujourd’hui toute une flopée de produits, on apprend que le développeur français Dylan Roussel (à l’origine de Inware) vient de révéler une faille de sécurité sur l’AppGallery. Il a réussi à télécharger gratuitement des applications payantes.
Une découverte qui part d’une simple curiosité
Comme il le raconte dans l’article de blog qu’il a publié, Dylan Roussel a voulu étudier le fonctionnement de l’API de Huawei. En faisant une requête auprès de cette même API, il a pu recevoir différentes informations sur l’application demandée : version de l’application, logo, images, description, autorisations, date de sortie, prix, etc. Mais il y a autre chose : une URL. Il s’agit en fait du lien de téléchargement direct de l’application. Au départ, il avait testé cela avec l’AppGallery elle-même, donc rien d’alarmant.
Mais la curiosité étant toujours un vilain défaut, il s’est demandé s’il était possible de télécharger des applications payantes en passant par l’API de Huawei. Il a essayé avec une première application et a pu l’installer avec succès et l’utiliser sans problème. Pour confirmer son intuition, il a réessayé avec deux autres applications sans problème. Lorsqu’il a testé un jeu mobile, il n’a pas pu en profiter puisqu’il y avait une vérification de licence au lancement.
La faille est-elle utilisée ?
Comme l’écrit Dylan Roussel, également contributeur à 9to5Google, on ne sait pas si cette vulnérabilité est activement utilisée, mais « si c’est le cas, les développeurs et Huawei pourraient perdre une partie de leurs revenus ». Le développeur va même plus loin en disant que des pirates « pourraient utiliser l’API pour télécharger une grande quantité d’applications payantes dans un laps de temps relativement court sans avoir à les payer et sans même avoir besoin de passer par l’AppGallery ».
Huawei n’a pas corrigé la vulnérabilité de son AppGallery
Toujours dans son article de blog, Dylan Roussel raconte comment il a contacté Huawei pour informer les développeurs de l’entreprise de sa découverte. Huawei lui a déclaré qu’ils enquêteraient sur ce problème et lui ont demandé « de ne pas divulguer le problème avant la fin de l’analyse ». Plusieurs semaines après cet échange, rien n’a changé : Dylan Roussel écrit qu’il a envoyé deux autres emails, restés sans réponse.
Il avait donné à Huawei cinq semaines avant de dévoiler cette faille et leur avait accordé « quelques semaines de plus » : cela fait 90 jours qu’il a envoyé son premier email. Selon lui, « la vulnérabilité elle-même n’est pas corrigée et les applications payantes peuvent toujours être téléchargées gratuitement ». Le plus grave selon lui, c’est que « les développeurs utilisant les services de Huawei n’ont pas non plus été informés de cette vulnérabilité ».
Dylan Roussel déclare que « Huawei a reconnu la vulnérabilité » : une prime lui a été offerte, qu’il a annoncé avoir refusée.
Une information qui tombe assez mal pour Huawei, puisque le constructeur chinois a annoncé aujourd’hui de nouveaux produits : le smartphone pliant Mate Xs 2, les bracelets connectés Watch Fit 2, Band 7 et Watch D, la montre Watch GT 3 Pro ainsi que le traqueur d’activité S-Tag.
Votre café et votre dose de tech vous attendent sur WhatsApp chaque matin avec Frandroid.
[…] lancement, son prix est réduit chez la Fnac 19 mai 202219/05/2022 • 17:13 Huawei Une faille permet de télécharger gratuitement des applications payantes sur l’Ap… 19 mai 202219/05/2022 • 17:05 Bons plans À moins de 400 €, ce TV 4K QLED de […]
[…] après avoir INSTALLÉ Windows 11 ! Les tendancesLes derniers articles Huawei Une faille permet de télécharger gratuitement des applications payantes sur l’Ap… 18 mai 202218/05/2022 • 17:12 Montres connectées Huawei Watch Fit 2 et Watch […]
[…] après avoir INSTALLÉ Windows 11 ! Les tendancesLes derniers articles Huawei Une faille permet de télécharger gratuitement des applications payantes sur l’Ap… 18 mai 202218/05/2022 • 17:12 Montres connectées Huawei Watch Fit 2 et Watch […]
[…] Source link […]
[…] Source link […]
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix