Huawei AppGalleryにて、誰でも無料で有料アプリをダウンロードすることができる脆弱性が発見されました。
HUAWEIは、米国からの制裁措置を受けて以来、同社製スマートフォンはGoogle Playストアにアクセスすることはできず、HMS(HUAWEI モバイルサービス)の一部として独自アプリストアのHuawei AppGalleryを提供しています。
新たなアプリストアとして提供が開始されたHuawei AppGalleryですが、まだダウンロードできるアプリが少ない等の課題がありますが、有料アプリを無料でダウンロードできてしまう致命的な脆弱性が明らかになりました。
Androidアプリ開発者のDylan Roussel氏によって報告されたレポートによると、Huawei AppGalleryにて提供されている”あるAPI”を使用すると、Huawei AppGalleryを介せずにアプリ(APKファイル)をダウンロードできるURLを取得することができるとのことです。
また、驚くべきことに、これは有料アプリでも同様の動作を示し、お金を払うことなく有料アプリをダウンロードすることができます。
ここで具体的なダウンロード方法を説明することは避けますが、複数人によって上記の脆弱性が確認されており、技術的な知識があれば誰でも無料で有料アプリをダウンロードできてしまう状態となっています。
Dylan Roussel氏によると、2022年2月に脆弱性を発見し、HUAWEIに問題を報告したとのこと。しかし、未だ問題は修正されておらず、痺れを切らして脆弱性の公開に踏み切ったと説明しています。
そして、彼がインターネットに公開した翌日、HUAWEIは謝罪を表明し、5月25日までに修正すると説明しています。
source(1)(2)