Black Friday en avant-première
Black Friday en avant-première
Les meilleures offres en DIRECT
133articles

Une faille permet de télécharger gratuitement des applications payantes sur l’AppGallery de Huawei

Mauvais timing pour Huawei

 
Un développeur français révèle une faille de sécurité dans l’AppGallery de Huawei, le magasin d’applications sur fabricant chinois : elle permet de télécharger gratuitement des applications payantes.

Mise à jour du 19 mai 2022 :

Dylan Roussel a mis à jour son article de blog en expliquant que « Huawei a communiqué un calendrier pour réparer l’AppGallery et s’est excusé pour la mauvaise communication et la réponse tardive ». Le développeur annonce que « la vulnérabilité devrait être corrigée pour tout le monde d’ici le 25 mai ».

Article original du 18 mai 2022 :

Si l’AppGallery n’est pas très utilisé en France, il l’est par des millions d’autres personnes ailleurs et pour cause : les services Google manquent à l’appel sur les smartphones de Huawei. Alors que la marque chinoise annonce aujourd’hui toute une flopée de produits, on apprend que le développeur français Dylan Roussel (à l’origine de Inware) vient de révéler une faille de sécurité sur l’AppGallery. Il a réussi à télécharger gratuitement des applications payantes.

Une découverte qui part d’une simple curiosité

Comme il le raconte dans l’article de blog qu’il a publié, Dylan Roussel a voulu étudier le fonctionnement de l’API de Huawei. En faisant une requête auprès de cette même API, il a pu recevoir différentes informations sur l’application demandée : version de l’application, logo, images, description, autorisations, date de sortie, prix, etc. Mais il y a autre chose : une URL. Il s’agit en fait du lien de téléchargement direct de l’application. Au départ, il avait testé cela avec l’AppGallery elle-même, donc rien d’alarmant.

Mais la curiosité étant toujours un vilain défaut, il s’est demandé s’il était possible de télécharger des applications payantes en passant par l’API de Huawei. Il a essayé avec une première application et a pu l’installer avec succès et l’utiliser sans problème. Pour confirmer son intuition, il a réessayé avec deux autres applications sans problème. Lorsqu’il a testé un jeu mobile, il n’a pas pu en profiter puisqu’il y avait une vérification de licence au lancement.

La faille est-elle utilisée ?

Comme l’écrit Dylan Roussel, également contributeur à 9to5Google, on ne sait pas si cette vulnérabilité est activement utilisée, mais « si c’est le cas, les développeurs et Huawei pourraient perdre une partie de leurs revenus ». Le développeur va même plus loin en disant que des pirates « pourraient utiliser l’API pour télécharger une grande quantité d’applications payantes dans un laps de temps relativement court sans avoir à les payer et sans même avoir besoin de passer par l’AppGallery ».

Huawei n’a pas corrigé la vulnérabilité de son AppGallery

Toujours dans son article de blog, Dylan Roussel raconte comment il a contacté Huawei pour informer les développeurs de l’entreprise de sa découverte. Huawei lui a déclaré qu’ils enquêteraient sur ce problème et lui ont demandé « de ne pas divulguer le problème avant la fin de l’analyse ». Plusieurs semaines après cet échange, rien n’a changé : Dylan Roussel écrit qu’il a envoyé deux autres emails, restés sans réponse.

Il avait donné à Huawei cinq semaines avant de dévoiler cette faille et leur avait accordé « quelques semaines de plus » : cela fait 90 jours qu’il a envoyé son premier email. Selon lui, « la vulnérabilité elle-même n’est pas corrigée et les applications payantes peuvent toujours être téléchargées gratuitement ». Le plus grave selon lui, c’est que « les développeurs utilisant les services de Huawei n’ont pas non plus été informés de cette vulnérabilité ».

Dylan Roussel déclare que « Huawei a reconnu la vulnérabilité » : une prime lui a été offerte, qu’il a annoncé avoir refusée.

Une information qui tombe assez mal pour Huawei, puisque le constructeur chinois a annoncé aujourd’hui de nouveaux produits : le smartphone pliant Mate Xs 2, les bracelets connectés Watch Fit 2, Band 7 et Watch D, la montre Watch GT 3 Pro ainsi que le traqueur d’activité S-Tag.

 

Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.

Huawei AppGallery

Huawei AppGallery

Télécharger gratuitement
Signaler une erreur dans le texte
Source : Dylan Roussel
Hugo Bernard

Apprenti journaliste

  • Google imagine le futur des notifications sous forme de « petits signaux » - Frandroid - Wasstel Mali

    […] lancement, son prix est réduit chez la Fnac 19 mai 202219/05/2022 • 17:13 Huawei Une faille permet de télécharger gratuitement des applications payantes sur l’Ap… 19 mai 202219/05/2022 • 17:05 Bons plans À moins de 400 €, ce TV 4K QLED de […]

  • Ce ne serait finalement pas l’année du Xiaomi Mix 5… mais bien du Mix Fold 2 - Frandroid - Wasstel Mali

    […] après avoir INSTALLÉ Windows 11 ! Les tendancesLes derniers articles Huawei Une faille permet de télécharger gratuitement des applications payantes sur l’Ap… 18 mai 202218/05/2022 • 17:12 Montres connectées Huawei Watch Fit 2 et Watch […]

  • Après l’iPhone 15, Apple basculerait aussi les AirPods en USB-C - Frandroid - Wasstel Mali

    […] après avoir INSTALLÉ Windows 11 ! Les tendancesLes derniers articles Huawei Une faille permet de télécharger gratuitement des applications payantes sur l’Ap… 18 mai 202218/05/2022 • 17:12 Montres connectées Huawei Watch Fit 2 et Watch […]

  • Flaw allows paid apps to be downloaded for free from Huawei's AppGallery - High Tech Ref

    […] Source link […]

  • Flaw allows paid apps to be downloaded for free from Huawei's AppGallery | TechBuzz | TechBuzz

    […] Source link […]

Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Gérer mes choix

Lectures liées

Humanoid Native
Google Pixel 7 Pro, Switch OLED et casque Sony à prix mini : AliExpress prépare déjà votre Noël

Google Pixel 7 Pro, Switch OLED et casque Sony à prix mini : AliExpress prépare déjà votre Noël

Apple TV+ // Source : Unsplash James Yarema

Twitch vous permet de profiter d’Apple TV+ gratuitement

Source : Photo de Kevin Ku sur Unsplash.

Une faille de sécurité à exposé près de 3 millions d’applications iOS pendant 10 ans

Google Play Store // Source : ElR - Frandroid

Le Play Store voudrait lancer lui-même les applications que vous venez de télécharger

Fond d'écran iOS 18

iOS 18 a de nouveaux fonds d’écran et vous pouvez les télécharger dès maintenant

Source : Huawei

La renaissance de Huawei : HarmonyOS NeXT défie l’hégémonie d’Android et iOS

Les derniers articles

Huawei

La dernière vidéo

5 Marques de Voitures Électriques Chinoises prêtes à CONQUÉRIR la France

5 Marques de Voitures Électriques Chinoises prêtes à CONQUÉRIR la France

Les tendances

Les derniers articles