AppGallery e una pesante vulnerabilità: a rischio molti pagamenti online

E’ il Play Store di Google o l’App Store di Apple. Huawei si è messa in proprio dopo le sanzioni pesantissimi degli Stati Uniti sviluppando un gestore di pacchetti e una piattaforma di distribuzione di app per Android.

Undici anni fa la prima versione, in Cina, da quattro è a livello globale AppGallery. Un piattaforma che è riuscita a competere con il duopolio Google-Apple, tant’è che vanta circa mezzo milione di utenti attivi su quasi un miliardo di dispositivi Huawei. Numeri impressionanti, che in questo caso però fanno rima con preoccupanti.

Già, è stato scoperto un bug molto pericoloso di AppGallery. Una vulnerabilità dentro l’applicazione che rende gratis tutte le applicazioni a pagamento. I primi problemi a febbraio, sono passati mesi e ancora compare.

L’API AppGallery non offre alcuna protezione per le app a pagamento

Una vulnerabilità che praticamente consente a chiunque abbia un po’ di know-how tecnico e un po’ di tempo e disponibilità a fare un piccolo sforzo per scaricare e installare praticamente qualsiasi app a pagamento da AppGallery, senza effettivamente pagarla.

Inutile dire che suona piuttosto male per gli sviluppatori che finora hanno resistito con Huawei. Dylan Roussel, lo sviluppatore che ha riscontrato il problema, sottolinea che la vulnerabilità non riguarda gli stessi sviluppatori di app che non abilitano la verifica della licenza sulle loro applicazioni, ma è invece un difetto derivante proprio da Huawei, che tutt’ora non è risuscita a rilasciare una patch, un aggiornamento in grado di sistemare le cose.
Attualmente, tutto è rimasto irrisolto, visto che l’API AppGallery non offre alcuna protezione per le app a pagamento. Lo stesso Roussel è stato in grado di scaricare e utilizzare più applicazioni a pagamento sfruttando questa vulnerabilità.

Chiaramente questo è problematico perché i cyber criminali potrebbero utilizzare l’API per scaricare un grandissimo numero di applicazioni a pagamento alla volta, impedendo così agli sviluppatori di applicazioni di guadagnare quanto altrimenti avrebbero.

In sostanza, l’API di AppGallery non offre alcuna protezione per le applicazioni a pagamento. Ci vuole un po’ di lavoro e un po’ di conoscenza tecnica, ma in moltissimi possono facilmente ottenere un link APK per app premium e scaricarle senza pagare nulla.

A febbraio Roussel ha informato prontamente Huawei la vulnerabilità: il colosso cinese ha ringraziato della dritta, chiedendo di non far uscire nulla. Ma cinque settimane dopo, lo sviluppatore vedendo il nulla piatto ha deciso di pubblicare la notizia urbi et orbi. Una mossa che ha provocato una reazione. Almeno quella.

Huawei ha contattato Roussel scusandosi per l’errore di comunicazione e la risposta tardiva, spiegando che, poiché l’AppGallery funziona in modo diverso a seconda dei vari paesi nel mondo, occorreva più tempo. Per fine maggio dovrebbe essere tutto risolto. Già, dovrebbe.