Kwetsbaarheid Huawei AppGallery maakt gratis downloaden betaalde apps mogelijk

Gebruikers van Huaweis eigen appwinkel, AppGallery, kunnen momenteel vanwege een kwetsbaarheid met een api gratis apps downloaden die eigenlijk geld zouden kosten. Huawei belooft voor 25 mei het probleem op te lossen.

Door de kwetsbaarheid kan iemand met de door ontwikkelaar Dylan Roussel ontdekte api een json-rapport ontvangen met daarin een apk-downloadlink van een applicatie naar keuze. Het is vanwege een gebrek aan verdere beveiliging door de AppGallery via deze weg niet van belang of een gebruiker voor een applicatie betaald heeft of niet. Roussel wist succesvol meerdere betaalde apps te installeren dankzij de kwetsbaarheid. Alleen een game die zelf nog een licentiecheck deed na installatie werkte niet; ontwikkelaars kunnen de kwetsbaarheid dus zelf voorkomen.

Volgens Roussel ligt de oorzaak van het probleem daarentegen nadrukkelijk bij Huawei; de AppGallery zou geen verdere beveiliging of verificatie meer toepassen. Ontwikkelaars zouden hierdoor veel inkomsten mis kunnen lopen en zijn kwetsbaar voor softwarepiraterij.

Huawei zou daarom direct zijn ingelicht; Roussel ontdekte de kwetsbaarheid in februari en kreeg in eerste instantie snel antwoord van het Chinese bedrijf. Nadat het probleem maar niet werd opgelost, stuurde hij vervolgmails die tot 13 weken na de initiële mail niet beantwoord werden. Ondertussen heeft Huawei de kwetsbaarheid erkend en werkt aan een oplossing die over enkele dagen voor alle regio's geïmplementeerd moet zijn.

Vanwege sancties van de Amerikaanse overheid mag Google sinds eind 2019 geen services meer leveren aan Huawei, waardoor onder meer Android en de Play Store voor het Chinese merk effectief geblokkeerd werden. Ondertussen heeft Huawei alternatieven voor de meeste services, waaronder dus de AppGallery als eigen appwinkel.

Door Yannick Spinner

Redacteur

Feedback • 20-05-2022 17:45
18 • submitter: GreenScyth

20-05-2022 • 17:45

18

Submitter: GreenScyth

Lees meer

Gerucht: Huawei overweegt commissie van 20 procent in eigen downloadwinkel
Gerucht: Huawei overweegt commissie van 20 procent in eigen downloadwinkel Nieuws van 18 juni 2024
Google repareert bug in Pixel-telefoons die pukcode toegang geeft tot apparaat
Google repareert bug in Pixel-telefoons die pukcode toegang geeft tot apparaat Nieuws van 10 november 2022
Huawei kondigt Mate 50-smartphones aan met ondersteuning voor satelliet-sms'jes
Huawei kondigt Mate 50-smartphones aan met ondersteuning voor satelliet-sms'jes Nieuws van 6 september 2022
Xiaomi wil extractie .apk-bestanden op Android blokkeren en Google weigert dat
Xiaomi wil extractie .apk-bestanden op Android blokkeren en Google weigert dat Nieuws van 22 mei 2022
Canada weert 5G-apparatuur van Huawei en ZTE uit netwerken
Canada weert 5G-apparatuur van Huawei en ZTE uit netwerken Nieuws van 20 mei 2022
'Chinese overheden moeten buitenlandse pc's vervangen door Chinese pc's'
'Chinese overheden moeten buitenlandse pc's vervangen door Chinese pc's' Nieuws van 6 mei 2022
Huawei presenteert volgende week vouwbare Mate Xs 2-smartphone
Huawei presenteert volgende week vouwbare Mate Xs 2-smartphone Nieuws van 22 april 2022
Huaweis omzet van consumententak gehalveerd, desondanks 76 procent meer winst
Huaweis omzet van consumententak gehalveerd, desondanks 76 procent meer winst Nieuws van 28 maart 2022
Huawei kondigt tablet met 10,3"-scherm van e-inkt aan
Huawei kondigt tablet met 10,3"-scherm van e-inkt aan Nieuws van 28 februari 2022
Meer producten en artikelen
Software Beveiliging en antivirus Huawei

Reacties (18)

-Moderatie-faq
18
17
3
0
0
9
Wijzig sortering
darknessblade 20 mei 2022 18:03
Dus nog 5 dagen om alle betaalde apps te downloaden en omzetten naar een APK bestand
Anoniem: 454358 @darknessblade20 mei 2022 18:41
Waarom? Volgens mij kan je alles wel vinden als je op appnsam plus apk googled
GertMenkel
@Anoniem: 45435820 mei 2022 18:58
De random APK's op internet zijn vaak geboobytrapped met malware. De helft van die websites is amper te vertrouwen. Als je de apps direct uit de bron haalt, is de kans op malware net ietsje lager.
narimantos @GertMenkel20 mei 2022 19:33
Als je de apps direct uit de bron haalt, is de kans op malware net ietsje lager.
Met nadruk op net ietjes.
Emiel L 21 mei 2022 08:34
Ik mag toch hopen dat Huawei deze ontwikkelaars daarvoor compenseert, zeker als het al zo'n tijd bekend is en daardoor actief misbruikt wordt.
kodak
@Emiel L21 mei 2022 09:13
Hopelijk informeren stores ontwikkelaars over risico's die hun store heeft en had, ongeacht of de ontwikkelaars er last van hadden.
Joelsuperstar 20 mei 2022 18:08
Is dit dan niet gewoon hetzelfde als die stores die nu al betaalde apps gratis laten downloaden als apk?
supersnathan94 @Joelsuperstar20 mei 2022 18:29
Zou me niets verbazen als iemand daar een schilletje voor gemaakt heeft.

Echter is het wel makkelijk op te snorren lijkt me. Beetje API management telt gewoon het aantal requests per endpoint dus als je op die analytics APK link ineens veel meer hits hebt dan noodzakelijkerwijs te verwachten valt zou er wat mij betreft wel een belletje moeten gaan rinkelen dat er “iets” niet helemaal klopt.

Tenzij de appgallery onder water dezelfde URL gebruikt.
djwice @supersnathan9420 mei 2022 23:30
De "hacker" website verwijst de eindgebruiker gewoon direct naar de link(s) bij de bron.
En laat de cliënt via een script op zijn "hacker" webpagina de data ophalen bij de bron en posten naar de "hacker" server, zodat de cliënt de "hacker" database vult, zonder dat de "hacker" zelf contact hoeft te leggen met de bron, deze zelfs niet hoeft te scrapen.

Maar een tip, ga dit niet doen, het opzettelijk faciliteren van diefstal is strafbaar.

Ik heb bewust essentiële stappen weggelaten, zonder die toevoegingen blijft de "hacker" traceerbaar.

[Reactie gewijzigd door djwice op 24 juli 2024 01:58]

supersnathan94 @djwice21 mei 2022 14:08
Sterker nog. Die database heb je helemaal niet eens nodig. Kun je bij wijze van direct op de API bouwen en dan de downloadlink wijzigen.

De grap is dat er dus geen controle zit op aanschaf, maar dat die in de store waarschijnlijk tussen de knop en de link plaatsvind. De knop “aanschaffen” wordt dan door wat scripting vervangen door “download”. Het zou me dan ook niks verbazen als je die knop met wat client side aanpassingen gewoon direct kunt vervangen in de appgallery zelf. Maar dat moet je dan per app doen.
djwice @supersnathan9421 mei 2022 22:04
Ik ging er gemakshalve van uit dat de hacker als doel had om zelf een kopie te krijgen van de betaalde apps, zonder zelf te hoeven scrapen.

Wellicht dat een hacker bij het hebben van een groot aantal 'betaalde' apps en deze vergelijken met de gratis versie, een tool ontwikkeld die patronen in gratis apps herkent en deze kan omzetten naar de betaalde functie.
Bijvoorbeeld automatisch uitschakelen van advertenties en inschakelen van conditioneel uitgeschakelde functies.

[Reactie gewijzigd door djwice op 24 juli 2024 01:58]

supersnathan94 @djwice22 mei 2022 01:53
Oh zo. Hmm. Denk dat je dan makkelijker een VPS ergens kan huren of zoiets. Of gewoon via de wifi bij een McDonalds.

Ik kom geregeld bij Hotels om de auto op te laden dus daar heb ik dan ook wel ff een twintig/dertig minuten om met een laptopje wat scripts te draaien. Niemand die daar ooit achter komt.
kodak
@Joelsuperstar21 mei 2022 09:10
Hooguit het ongevraagd beschikbaar zijn kan je vergelijken. Maar een ontwikkelaar heeft een contract met deze appstore om het werk te beschermen, terwijl de alternatieve manieren van aanbieden weinig om het beschermen geven en waarschijnlijk geen contract hebben.
mutley69 20 mei 2022 23:05
Zou daar geen nobeler doel achter schuil gaan? Xi is sluw - wij zijn dom en hebzuchtig?
n4m3l355 @mutley6921 mei 2022 07:14
Ik wil het niet nobel noemen maar specifiek voor Huawei betwijfel ik het. In China wordt je mobieltje namelijk standaard geload met een twijfelachtige appstore en daarbinnen vind je weer andere appstores waar alles gewoon gratis te downloaden is. Niet alleen dat veel games hebben daarbij ook de betaalde extra's. Daar wordt hier niks tegen gedaan, sterker nog zoals ik al aangaf bij China Mobile is dit een extra'tje.
greatgonzo @mutley6921 mei 2022 09:09
Scheelt dat de NSA of AIVD nooit meeleest
kondamin @Frame16421 mei 2022 11:45
Zo als muzikanten en de film en tv industrie dus

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq