Jak się okazuje, AppGallery nie oferuje żadnego zabezpieczenia przez pobraniem za darmo APK płatnej aplikacji. Źle to wróży przyszłości sklepu.
Każdy twórca wirtualnego repozytorium z aplikacjami chce, by przestrzeń, którą tworzy, była bezpieczna dla klientów. Dlatego co i rusz piszemy o tym, że Apple czy Google koniecznie musza zwiększyć zabezpieczenia i kontrolę w swoich sklepach, jeżeli chcą by fani wybierali App Store czy Google Play Store z innych powodów niż z musu. Jednak oprócz tego, takie repozytorium musi być także bezpieczną przestrzenią dla twórców, czyli developerów, którzy wrzucają tam swoje programy. I o ile w tym aspekcie Google i Apple radzą sobie całkiem przyzwoicie, to nowy gracz na rynku wydaje się mieć spore problemy, które mogą rzutować na to, ile aplikacji pojawi się tam w przyszłości. Mowa o AppGallery, czyli sklepie od Huaweia, który miał stać się alternatywą dla Sklepu Play.
To cię zainteresuje Aplikacja mBanku dostępna w AppGallery, ale ciągle wymaga usług Google do działaniaSkąd pobrać aplikacje, których nie ma w AppGallery na Huawei P40 Lite?
Tymczasem błąd AppGallery sprawia, że można pobrać APK płatnych aplikacji na Androida za darmo. Problem trwa od lutego
Problem został odkryty przez jednego z developertów, Dylana Rousella, który sam tworzył aplikację właśnie do tego repozytorium. Ku swojemu przerażeniu odkrył on, że API AppGallery nie oferuje de facto żadnej ochrony dla płatnych aplikacji i przy odrobinie wiedzy i umiejętności każdy jest w stanie pobrać z repozytorium APK znajdujących się tam płatnych aplikacji na Androida. Sam Rousell stwierdził, że bez problemu był w stanie pobrać APK wielu płatnych aplikacji, a jak wiemy, jeżeli ma się APK, to można taką aplikację rozdystrybuować dalej. To nie tylko pozbawia developera zysku z tego konkretnego klienta, ale naraża go na dużo większe straty z powodu rozsyłania APK dalej, poza oficjalnymi repozytoriami. Jeżeli więc Huawei chce, żeby twórcy przepisywali swoje aplikacje na jego sklep, powinien od razu załatać podatność (bądź, jeżeli wierzyć słowom Rousella, w ogóle wdrożyć jakiekolwiek mechanizmy ochronne).
Jednak i tutaj jest spory problem, ponieważ Rousell poinformował Huawei o problemie... w lutym. To znaczy, że od momentu w którym firma dowiedziała się o podatności (przy czym dowiedziała się jest tu na wyrost, ponieważ raczej wiedzieli, że w ich sklepie nie ma takowych zabezpieczeń) minęło co najmniej 2 miesiące, a w dalszym ciągu istnieje i dopiero informacja o upublicznieniu informacji o podatności skłoniła Huawei do uznania, że luka faktycznie istnieje.
Jeżeli jesteście ciekawi, w jaki sposób Rousell odkrył dziurę w zabezpieczeniach i w jaki sposób możliwe jest pobranie płatnych aplikacji za darmo - zachęcam do lektury wpisu na jego prywatnym blogu. Niestety, jest to problem, który mocno kompromituje repozytorium i z pewnością nie zachęci twórców dużych, przynoszących olbrzymie zyski aplikacji i gier do przepisania swoich programów tak, by mogły zostać tam umieszczone. A to z kolei może sprawić, że rozwój AppGallery, który obecnie i tak przebiega zapewne dużo wolniej, niż by sobie tego w Huaweiu życzyli, może zaliczyć spore spowolnienie. Tym bardziej dziwne, że firmie tak długo zajęło zajęcie się zgłoszeniem, które powinno zostać potraktowane jako krytyczny problem o najwyższym priorytecie.
Czytaj dalej poniżej
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
