Huawei AppGallery Sicherheitslücke ermöglicht den kostenlosen Download kostenpflichtiger Apps

HUAWEI AppGallery
Quelle: Huawei

Nach dem US-Verbot verlor Huawei den Zugang zu Google-Diensten. Infolgedessen musste das Unternehmen mehr Ressourcen in seine eigene Software, den Huawei Mobile Services (HMS), für seine Smartphones investieren. Dazu gehört auch die Huawei AppGallery, die Alternative des Unternehmens zum Google Play Store.

Der Sinn eines App-Stores ist es, Software zu vertreiben, und dazu gehört auch, Geld für kostenpflichtige Titel einzunehmen. Zum Leidwesen von Huawei scheint es eine Schwachstelle zu geben, die es Nutzern ermöglicht, kostenpflichtige Apps kostenlos herunterzuladen.

Der Android-Entwickler Dylan Roussel stöberte in der API des App Stores herum, als er eine Schwachstelle fand, die dazu führte, dass APK-Download-Links für kostenlose und kostenpflichtige Anwendungen zurückgegeben wurden. Er konnte die besagten Anwendungen über die Links herunterladen, installieren und ohne Probleme nutzen.

Um sicherzugehen, dass es sich nicht um ein Problem bei der Lizenzverifizierung einer App handelte, wiederholte er den Vorgang mit mehreren Apps – die Ergebnisse waren die gleichen, was bestätigte, dass der Fehler tatsächlich auf Seiten von Huawei lag. Ein weiteres Indiz für die Entdeckung war, dass bei einem von ihm getesteten Spiel eine Lizenzüberprüfung stattfand, die ihn an der Nutzung hinderte – die Ausnahme, die die Regel bestätigt.

Die Sicherheitslücke ist aus mehreren Gründen von großer Bedeutung. Abgesehen davon, dass Huawei und die Entwickler möglicherweise Einnahmen verlieren, könnten App-Piraten die Schwachstelle ausnutzen, um für zweifelhafte Zwecke auf Premium-Titel zuzugreifen. Roussel kontaktierte Huawei bereits kurz nach der Entdeckung der Schwachstelle im Februar. Er bot dem Unternehmen 5 Wochen Zeit an, um die Angelegenheit zu klären. Nachdem 13 Wochen lang Funkstille herrschte, macht er seine Erkenntnisse nun endlich öffentlich.

Vermutlich wird die Lücke aber nun schnell geschlossen, wenn sie es nicht bereits schon ist.

Quelle(n):
9TO5Google

Links mit einem * sind Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Facebook, abonniere meinen Telegram-, WhatsApp-, X/Twitter- oder Mastodon-Kanal oder RSS-Feed!

Der einzige Tech-Newsletter, den Du brauchst

Abonniere Schmidtis Blog, um tägliche Updates der neuesten Artikel direkt in Deinem Posteingang zu erhalten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert