Jak się okazuje, AppGallery nie oferuje żadnego zabezpieczenia przez pobraniem za darmo APK płatnej aplikacji. Źle to wróży przyszłości sklepu.
Każdy twórca wirtualnego repozytorium z aplikacjami chce, by przestrzeń, którą tworzy, była bezpieczna dla klientów. Dlatego co i rusz piszemy o tym, że Apple czy Google koniecznie musza zwiększyć zabezpieczenia i kontrolę w swoich sklepach, jeżeli chcą by fani wybierali App Store czy Google Play Store z innych powodów niż z musu. Jednak oprócz tego, takie repozytorium musi być także bezpieczną przestrzenią dla twórców, czyli developerów, którzy wrzucają tam swoje programy. I o ile w tym aspekcie Google i Apple radzą sobie całkiem przyzwoicie, to nowy gracz na rynku wydaje się mieć spore problemy, które mogą rzutować na to, ile aplikacji pojawi się tam w przyszłości. Mowa o AppGallery, czyli sklepie od Huaweia, który miał stać się alternatywą dla Sklepu Play.
Tymczasem błąd AppGallery sprawia, że można pobrać APK płatnych aplikacji na Androida za darmo. Problem trwa od lutego
Problem został odkryty przez jednego z developertów, Dylana Rousella, który sam tworzył aplikację właśnie do tego repozytorium. Ku swojemu przerażeniu odkrył on, że API AppGallery nie oferuje de facto żadnej ochrony dla płatnych aplikacji i przy odrobinie wiedzy i umiejętności każdy jest w stanie pobrać z repozytorium APK znajdujących się tam płatnych aplikacji na Androida. Sam Rousell stwierdził, że bez problemu był w stanie pobrać APK wielu płatnych aplikacji, a jak wiemy, jeżeli ma się APK, to można taką aplikację rozdystrybuować dalej. To nie tylko pozbawia developera zysku z tego konkretnego klienta, ale naraża go na dużo większe straty z powodu rozsyłania APK dalej, poza oficjalnymi repozytoriami. Jeżeli więc Huawei chce, żeby twórcy przepisywali swoje aplikacje na jego sklep, powinien od razu załatać podatność (bądź, jeżeli wierzyć słowom Rousella, w ogóle wdrożyć jakiekolwiek mechanizmy ochronne).
Jednak i tutaj jest spory problem, ponieważ Rousell poinformował Huawei o problemie... w lutym. To znaczy, że od momentu w którym firma dowiedziała się o podatności (przy czym dowiedziała się jest tu na wyrost, ponieważ raczej wiedzieli, że w ich sklepie nie ma takowych zabezpieczeń) minęło co najmniej 2 miesiące, a w dalszym ciągu istnieje i dopiero informacja o upublicznieniu informacji o podatności skłoniła Huawei do uznania, że luka faktycznie istnieje.
Jeżeli jesteście ciekawi, w jaki sposób Rousell odkrył dziurę w zabezpieczeniach i w jaki sposób możliwe jest pobranie płatnych aplikacji za darmo - zachęcam do lektury wpisu na jego prywatnym blogu. Niestety, jest to problem, który mocno kompromituje repozytorium i z pewnością nie zachęci twórców dużych, przynoszących olbrzymie zyski aplikacji i gier do przepisania swoich programów tak, by mogły zostać tam umieszczone. A to z kolei może sprawić, że rozwój AppGallery, który obecnie i tak przebiega zapewne dużo wolniej, niż by sobie tego w Huaweiu życzyli, może zaliczyć spore spowolnienie. Tym bardziej dziwne, że firmie tak długo zajęło zajęcie się zgłoszeniem, które powinno zostać potraktowane jako krytyczny problem o najwyższym priorytecie.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu