تسمح الثغرة الأمنية التي حددها Dylan Roussel بالتنزيل المجاني للبرامج المدفوعة على متجر Huawei AppGallery.
من المعروف ان Huawei أن AppGallery هو الآن ثالث أكبر متجر تطبيقات في العالم - يخدم أكثر من 600 مليون مستخدم لأجهزة Huawei في أكثر من 170 دولة / منطقة.
حتى سنوات قليلة ماضية ، كانت Huawei تصنع لنفسها اسمًا في العديد من الصناعات ، بما في ذلك الهواتف الذكية والاتصالات. لكن في عام 2019 ، أُدرجت على القائمة السوداء وبدأت تواجه عقوبات مدمرة بسبب علاقاتها المباشرة المزعومة مع الدولة الصينية وتهديد أمن الولايات المتحدة.
 |
| دارك مود تك |
قدمت الشركة نظام التشغيل HarmonyOS لتقليل التزامها بالولايات المتحدة الأمريكية أثناء هذه العملية . في الوقت نفسه ، بدأت في توسيع AppGallery بتطبيقات جديدة. ومع ذلك ، فقد ظهر مؤخرًا أنه تم اكتشاف ثغرة أمنية في متجر تطبيقات الشركة الذي يسمح بتنزيل البرامج المدفوعة مجانًا .
ثغرة مثيرة للاهتمام في متجر Huawei AppGallery
كان AppGallery ، الذي يلعب دورًا مهمًا في تلبية احتياجات المستخدمين من التطبيقات والألعاب بعد أن فقدت Huawei دعم Google في عام 2019 ، على جدول الأعمال مع شرح مثير للاهتمام مؤخرًا. هذه الثغرة الأمنية ، التي اكتشفها المطور ديلان روسيل في الأشهر الماضية ، توفر بيئة للتنزيل المجاني للبرامج المدفوعة .
تدعي Huawei أن AppGallery هو الآن ثالث أكبر متجر تطبيقات في العالم - يخدم أكثر من 600 مليون مستخدم لأجهزة Huawei في أكثر من 170 دولة / منطقة.
أراد ديلان روسيل ، مطور Android ، معرفة كيفية عمل واجهات برمجة التطبيقات الخاصة بشركة Huawei. لقد اكتشف أن واجهة برمجة تطبيقات واحدة أخذت اسم حزمة التطبيق كمعامل وأرجع كائن JSON مع تفاصيل التطبيق.
في البداية ، اختبره باستخدام تطبيق AppGallery نفسه - والذي من الواضح أنه مجاني. كان أحد الحقول التي تم إرجاعها عبارة عن عنوان URL يعمل لتنزيل APK للتطبيق.
كتب روسيل في منشور بالمدونة : "أتذكر أنني كنت أفكر في نفسي أنه سيكون أمرًا غريبًا إذا كان هذا المجال متاحًا أيضًا للتطبيقات المدفوعة" . "لذا ، كانت خطوتي التالية هي محاولة استخدام اسم حزمة تطبيق مدفوع."
نجح التنزيل. تساءل روسيل بعد ذلك عما إذا كانت بعض عمليات التحقق من الترخيص ستجعل التطبيق غير قابل للاستخدام ؛ لكنه تمكن من فتح التطبيق المدفوع واستخدامه بنجاح.
أضاف روسيل: "عند نشر تطبيق على AppGallery ، يتوقع المطورون مستوى معينًا من الأمان". "لا ينبغي أن يكون من الممكن تنزيل التطبيقات المدفوعة مجانًا دون أي تحقق أو على الإطلاق."
وفقًا لديلان روسيل ، فإن هذا لا يمثل مشكلة أمنية خطيرة. ومع ذلك ، لا توفر واجهة برمجة التطبيقات الخاصة بالمتجر أي حماية للتطبيقات المدفوعة ، مما يتسبب في حصول المستخدمين على رابط تنزيل APK صالح دون الحاجة إلى الدفع أو حتى تسجيل الدخول إلى حساب.
متجر تطبيقات هواوي مفتوح
تطبيق Huawei AppGallery مفتوح
الشيء المثير للاهتمام هو الادعاء بأن Huawei لم تتخذ خطوة ملموسة لفترة طويلة على الرغم من إبلاغها بالموضوع . لأن المطور قال إنه أبلغ الشركة بالثغرة الأمنية عن طريق البريد الإلكتروني قبل 13 أسبوعًا ، لكن المشكلة لم يتم حلها بعد. وأضاف أخيرًا أن الشركة اتصلت به منذ فترة واعترفت بالضعف. ومع ذلك ، فمن دواعي الفضول في الوقت الحالي ما إذا كانت المشكلة قد تم إصلاحها أم لا.
تعليقات
إرسال تعليق