Una vulnerabilità appena scoperta nel sistema di gestione di Huawei AppGallery permette a chiunque di scaricare le applicazioni a pagamento in modo completamente gratuito. Si tratta di un problema che potrebbe minare i guadagni degli sviluppatori, i quali si stanno pian piano abituando al nuovo ecosistema del brand.
Sin dal ban statunitense che ha colpito il gigante cinese di cui ormai vi parliamo da diversi anni, Huawei ha lavorato sodo per costruire da zero il proprio parco di servizi e un nuovo negozio di applicazioni per gli smartphone del proprio ecosistema.
La decisione del governo americano impedisce infatti a molte delle aziende statunitensi di collaborare con il colosso delle telecomunicazioni e di fornire a Huawei tecnologie 5G, da qui la mancanza di smartphone Qualcomm 5G nel portfolio di prodotti recenti. Per questo motivo i dispositivi recenti del marchio non hanno accesso al Google Play Store e ai Google Play Services.
Huawei ha realizzato in tempo record i Huawei Mobile Services (HMS) per sostituire le applicazioni Google, ormai ritenute essenziali da molti utenti, creando anche un negozio virtuale chiamato AppGallery per il download delle app.
Secondo quanto condiviso dai colleghi di Android Authority, la falla nell'app store di Huawei è stata scoperta dallo sviluppatore Dylan Roussel. In sostanza, le API di AppGallery non offrono protezione per le app a pagamento. Ci vuole un po' di lavoro e un po' di conoscenza tecnica, ma è possibile facilmente ottenere un link al file APK per le app premium in modo da scaricarle senza pagare un singolo centesimo. Roussel afferma di essere riuscito a scaricare e utilizzare diverse app a pagamento sfruttando la vulnerabilità.
Questo non solo priva gli sviluppatori dei loro potenziali guadagni, ma è anche una manna dal cielo per il mondo della pirateria. I malintenzionati potrebbero utilizzare le API per scaricare un gran numero di applicazioni a pagamento senza nemmeno dover passare per AppGallery.
Roussel ha informato Huawei della falla a febbraio, dando loro cinque settimane per risolvere il problema. Tuttavia, a distanza di settimane, il problema sembra persistere. Ad ogni modo possiamo presumere che non ci vorrà molto prima che l'azienda risolva il problema, in quanto recentemente Huawei ha riconosciuto l'e-mail di Roussel e ha assegnato un ID alla vulnerabilità.
È anche stata offerta a Roussel una ricompensa per aver trovato il bug, ma lui ha rifiutato il denaro per motivi personali.