Een kwetsbaarheid in de appstore van Huawei maakt het mogelijk om betaalde apps gratis te downloaden.

Smartphones van Huawei draaien op Android, maar hebben zelden toegang tot de Google Play Store. De Chinese organisatie wordt door de Verenigde Staten en meerdere Europese landen beschuldigd van spionage, met sancties als gevolg. Google mag bijvoorbeeld niet samenwerken met Huawei. Vandaar ontwikkelt Huawei een eigen appstore, AppGallery.

Securityonderzoeker Dylan Roussel vond een kwetsbaarheid in de API van AppGallery. De API maakt het mogelijk om de metadata van apps op te halen. Onder de data vind je gegevens als het versienummer, de omschrijving en prijs. Ook stuurt de API een downloadlink mee, waardoor elke app op de volledige appstore kosteloos beschikbaar is.

De downloadlink werkt voor gratis én betaalde apps. De API is voor iedereen benaderbaar. Je hoeft geen systemen binnen te dringen om de appstore te kraken. De oplossing is net zo simpel als het probleem, maar dat is aan Huawei voorbijgegaan.

Tip: ‘Steeds meer zorgen over API-security’

Schandalige reactie van Huawei

Dylan Roussel lichtte Huawei op 17 februari in. Vijf uur later stuurde Huawei een bevestiging van ontvangst. De organisatie beloofde de kwetsbaarheid te onderzoeken, en vroeg Roussel om het probleem niet met anderen te delen totdat het onderzoek werd voltooid.

Roussel besloot de organisatie vijf weken de tijd te geven. Vijf weken later was het probleem nog steeds aanwezig. Roussel stuurde meerdere reminders, maar de organisatie reageerde niet. Vandaar besloot de onderzoeker het probleem in een blog te delen.

De reactie van Huawei is kwalijk. Ten eerste biedt de organisatie geen veilige manier voor onderzoekers om kwetsbaarheden te rapporteren. Huawei paste geen versleuteling toe op de bevestigingsmail naar Roussel, wat de privacy van de onderzoeker schond.

Ten tweede werd het probleem dertien weken geleden aangekaart. De API blijft kwetsbaar. De apps van hardwerkende developers zijn gratis beschikbaar. Hun verdienmodel staat onder druk door een kwetsbaarheid die lachwekkend makkelijk is op te lossen.