В магазине приложений Huawei AppGallery найдена уязвимость, которая позволяет загружать платные приложения и игры бесплатно. Об этом стало известно от программиста Дилана Руссела.
Руссель решил просмотреть, как функционирует API (программный интерфейс приложения — прим. ред.) магазина приложений и написал для него свой API, который возвращает JSON-файл с деталями приложения. Для эксперимента он выбрал бесплатный софт и обнаружил в нём прямую ссылку на загрузку, аналогичную ссылку он увидел у платного приложения.
Удивительно, но ссылка для загрузки платного приложения не обременялась никакой дополнительной защитой. Он без проблем смог установить программу и оно работало на устройстве, будто было куплено. Ту же самую операцию он повторил с другими приложениями.
Разработчик Руссель написал о найденной ошибке Huawei ещё 17 февраля 2022 года. Компания ответила и пообещала расследовать проблему. Спустя три месяца, Huawei до сих пор не исправила уязвимость, но её наличие признала.
