Huawei AppGallery : une faille permet d’installer gratuitement des apps payantes !
AppGallery, la boutique d'applications Android de Huawei, souffre d'une grave faille de sécurité. En exploitant la vulnérabilité, il est possible d'installer gratuitement des applications payantes. Malgré les avertissements reçus, Huawei n'a pas encore corrigé la brèche.
Une faille vient d'être découverte dans AppGallery, la boutique d'applications Android de Huawei. D'après Dylan Roussel, un développeur français, la vulnérabilité permet à un utilisateur d'installer gratuitement des applications Android payantes sur son smartphone. Comme le Play Store de Google, AppGallery comprend à la fois des apps gratuites et des apps payantes.
Dans un billet de blog, le développeur explique être tombé par hasard sur cette brèche en s'interrogeant sur le fonctionnement de la boutique de Huawei. En creusant, le développeur a obtenu un lien de téléchargement, au beau milieu d'autres informations liées à une application.
Huawei tarde à corriger la faille
En cliquant sur ce lien de téléchargement, il a pu installer l'application qu'il étudiait. Il s'agissait d'une app gratuite, alors l'expert a opéré de la même manière avec une application premium payante. “Cette fois, j'ai essayé 3 applications différentes. Ou plutôt, 2 autres applications et 1 jeu. J'ai pu utiliser les applications avec succès”, explique Dylan Roussel sur son blog, précisant que le jeu disposait d'une vérification de licence au lancement, entravant son utilisation.
“Il ne devrait pas être possible de télécharger des applications payantes gratuitement sans aucune vérification ou quoi que ce soit. Bien que je ne sache pas actuellement si la vulnérabilité a été activement utilisée, si c'est le cas, les développeurs et Huawei pourraient tous deux perdre une partie de leurs revenus”, met en garde l'expert.
Après sa découverte, le développeur a donc contacté Huawei. Le groupe chinois s'est engagé à corriger le tir dans les plus brefs délais en demandant à son correspondant de garder le silence pour le moment. Le développeur a donné un délai de 5 semaines à Huawei pour corriger la faille.
Sur le même sujet : un malware Android espionne plus de 9 millions de smartphones sur AppGallery
Après avoir finalement patienté pendant 13 semaines, Dylan Roussel s'est résolu à divulguer l'existence de la brèche. L'expert assure que la faille est toujours béante, malgré les avertissements envoyés au constructeur. “Les développeurs utilisant les services de Huawei n'ont pas non plus été informés”, regrette le développeur, espérant que Huawei va rapidement agir.
Source : Dylan Roussel