Une faille permet de télécharger gratuitement des applications payantes sur l’AppGallery de Huawei

Mauvais timing pour Huawei

 
Un développeur français révèle une faille de sécurité dans l’AppGallery de Huawei, le magasin d’applications sur fabricant chinois : elle permet de télécharger gratuitement des applications payantes.

Mise à jour du 19 mai 2022 :

Dylan Roussel a mis à jour son article de blog en expliquant que « Huawei a communiqué un calendrier pour réparer l’AppGallery et s’est excusé pour la mauvaise communication et la réponse tardive ». Le développeur annonce que « la vulnérabilité devrait être corrigée pour tout le monde d’ici le 25 mai ».


Article original du 18 mai 2022 :

Si l’AppGallery n’est pas très utilisé en France, il l’est par des millions d’autres personnes ailleurs et pour cause : les services Google manquent à l’appel sur les smartphones de Huawei. Alors que la marque chinoise annonce aujourd’hui toute une flopée de produits, on apprend que le développeur français Dylan Roussel (à l’origine de Inware) vient de révéler une faille de sécurité sur l’AppGallery. Il a réussi à télécharger gratuitement des applications payantes.

Une découverte qui part d’une simple curiosité

Comme il le raconte dans l’article de blog qu’il a publié, Dylan Roussel a voulu étudier le fonctionnement de l’API de Huawei. En faisant une requête auprès de cette même API, il a pu recevoir différentes informations sur l’application demandée : version de l’application, logo, images, description, autorisations, date de sortie, prix, etc. Mais il y a autre chose : une URL. Il s’agit en fait du lien de téléchargement direct de l’application. Au départ, il avait testé cela avec l’AppGallery elle-même, donc rien d’alarmant.

Mais la curiosité étant toujours un vilain défaut, il s’est demandé s’il était possible de télécharger des applications payantes en passant par l’API de Huawei. Il a essayé avec une première application et a pu l’installer avec succès et l’utiliser sans problème. Pour confirmer son intuition, il a réessayé avec deux autres applications sans problème. Lorsqu’il a testé un jeu mobile, il n’a pas pu en profiter puisqu’il y avait une vérification de licence au lancement.

La faille est-elle utilisée ?

Comme l’écrit Dylan Roussel, également contributeur à 9to5Google, on ne sait pas si cette vulnérabilité est activement utilisée, mais « si c’est le cas, les développeurs et Huawei pourraient perdre une partie de leurs revenus ». Le développeur va même plus loin en disant que des pirates « pourraient utiliser l’API pour télécharger une grande quantité d’applications payantes dans un laps de temps relativement court sans avoir à les payer et sans même avoir besoin de passer par l’AppGallery ».

Huawei n’a pas corrigé la vulnérabilité de son AppGallery

Toujours dans son article de blog, Dylan Roussel raconte comment il a contacté Huawei pour informer les développeurs de l’entreprise de sa découverte. Huawei lui a déclaré qu’ils enquêteraient sur ce problème et lui ont demandé « de ne pas divulguer le problème avant la fin de l’analyse ». Plusieurs semaines après cet échange, rien n’a changé : Dylan Roussel écrit qu’il a envoyé deux autres emails, restés sans réponse.

Il avait donné à Huawei cinq semaines avant de dévoiler cette faille et leur avait accordé « quelques semaines de plus » : cela fait 90 jours qu’il a envoyé son premier email. Selon lui, « la vulnérabilité elle-même n’est pas corrigée et les applications payantes peuvent toujours être téléchargées gratuitement ». Le plus grave selon lui, c’est que « les développeurs utilisant les services de Huawei n’ont pas non plus été informés de cette vulnérabilité ».

Dylan Roussel déclare que « Huawei a reconnu la vulnérabilité » : une prime lui a été offerte, qu’il a annoncé avoir refusée.

Une information qui tombe assez mal pour Huawei, puisque le constructeur chinois a annoncé aujourd’hui de nouveaux produits : le smartphone pliant Mate Xs 2, les bracelets connectés Watch Fit 2, Band 7 et Watch D, la montre Watch GT 3 Pro ainsi que le traqueur d’activité S-Tag.