Fehler in Huaweis App Gallery: Bezahl-Apps für Android gibt es kostenlos

Eine Schwachstelle in Huaweis App Gallery wird es noch etwa eine Woche lang ermöglichen, kostenpflichtige Android-Apps gratis zu beziehen.

Artikel veröffentlicht am ,
Fehler in Huaweis App Gallery
Fehler in Huaweis App Gallery (Bild: Huawei)

Eine Schwachstelle in Huaweis App Gallery erlaubt es derzeit, kostenpflichtige Android-Apps kostenlos zu beziehen, berichtet Dylan Roussel, der den Fehler entdeckt hat. Roussel ist unter anderem für das Portal 9to5Google tätig. Huawei bestätigte den Fehler und will diesen bis zum 25. Mai 2022 beseitigen. Die App Gallery ist auf aktuellen Huawei-Smartphones die offizielle Möglichkeit, Android-Apps zu installieren, weil Huawei weiterhin von der Nutzung von Google-Diensten ausgeschlossen wird - dazu gehört auch der Play Store.

Stellenmarkt
  1. IT Network Solution Architect - Data Center Security (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. Senior IT Consultant/IT-Projektleitung (m/w/d)
    Hays AG, Düsseldorf
Detailsuche

Über die App Gallery gibt es kostenpflichtige sowie kostenlose Apps. Für den Kauf von kostenpflichtigen Apps wird ein Abrechnungsssytem von Huawei verwendet.

In der API des App-Gallery-Store hat Roussel nach eigenen Angaben eine Schwachstelle entdeckt, um an Download-Links für kostenpflichtige Android-Apps zu gelangen, ohne dafür bezahlen zu müssen. Roussel habe dies mit verschiedenen Apps erfolgreich durchführen können. In einem Fall hatte die App eine eigene Prüfroutine, ob diese korrekt erworben wurde. Diese ließ sich zwar installieren, aber nicht nutzen.

So ging Huawei mit dem Fehler um

Roussel gibt an, dass er den Fehler bereits Mitte Februar 2022 an Huawei gemeldet habe. Er habe Huawei - wie vom Unternehmen gewünscht - in einer PGP-verschlüsselten E-Mail auf den Fehler hingewiesen. Fünf Stunden später habe sich Huawei gemeldet und mitgeteilt, den Fehler zu untersuchen.

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    19.-22.09.2022, virtuell
Weitere IT-Trainings

Zur Verwunderung von Roussel war die betreffende E-Mail von Huawei nicht PGP-verschlüsselt. Das Unternehmen habe darum gebeten, den Fehler nicht öffentlich zu machen, bevor die Analyse bei Huawei abgeschlossen sei. Huawei verlangte von Roussel einen Plan darüber, wann die Schwachstelle öffentlich gemacht werde.

Er habe Huawei fünf Wochen Zeit gegeben und darum gebeten, über die weitere Entwicklung informiert zu werden - Huawei habe das zugesichert. Roussel bemerkte, dass der Fehler auch fünf Wochen später nicht behoben gewesen sei und er von Huawei keine Mitteilungen bekommen habe. Er habe dann zwei weitere E-Mails geschickt, auf die es von Huawei keine Reaktion gegeben habe.

Nach 13 Wochen keine Reaktion von Huawei

Roussel habe für sich beschlossen, Huawei mehr als die anvisierten fünf Wochen Zeit zu geben. Er wartete schließlich 13 Wochen, ohne dass Huawei reagiert hätte. Dann habe er Huawei informiert, dass er die Schwachstelle in Kürze veröffentlichen werde. Nach seinem Kenntnisstand habe Huawei App-Anbieter nicht über die Schwachstelle in der App Gallery informiert.

Erst einen Tag vor der geplanten Bekanntmachung der Schwachstelle in der App Gallery habe Huawei reagiert, aber keine Fehlerbeseitigung bereitgestellt. Das Unternehmen habe den Fehler lediglich bestätigt. Erst nachdem die Schwachstelle öffentlich wurde, habe Huawei mitgeteilt, bis wann der Fehler beseitigt werde - und das soll bis zum 25. Mai 2022 passieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Führung in der IT
Über das Unentbehrlichsein

Wie ich als Chef zum wandelnden Lexikon wurde und dabei meinen Spaß an der Arbeit verlor - und wie ich versuche, es besser zu machen.
Ein Erfahrungsbericht von @SoFuckingAgile

Führung in der IT: Über das Unentbehrlichsein
Artikel
  1. FTTC: Nachfrage für Vectoring der Telekom steigt um 60 Prozent
    FTTC
    Nachfrage für Vectoring der Telekom steigt um 60 Prozent

    Die Telekom sieht sich mit dem kupferbasierten Anschluss erfolgreich. Im Jahresvergleich hat sich der Kundenbestand um 1,3 Millionen auf 5,4 Millionen erhöht.

  2. Sensorfehler: Spinne legt Rendsburger Schwebefähre lahm
    Sensorfehler
    Spinne legt Rendsburger Schwebefähre lahm

    Ein Krabbeltier hat ein wichtiges Verkehrsmittel zur Überquerung des Nord-Ostsee-Kanals gestoppt - indem es ein Netz über einem Sensor gesponnen hat.

  3. Financial Modeling World Cup: Excel-E-Sport im Fernsehen
    Financial Modeling World Cup
    Excel-E-Sport im Fernsehen

    Ein TV-Sender in den USA übertrug erstmals die Ausscheidung der Excel-Weltmeisterschaft.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar Neuer MM-Flyer • MindStar (Gigabyte RTX 3070 Ti 699€, XFX RX 6950 XT 999€) • eBay Re-Store -50% • AVM Fritz-Box günstig wie nie • Top-SSDs 1TB/2TB (PS5) zu Hammerpreisen • MSI-Sale: Gaming-Laptops/PCs -30% • Der beste Gaming-PC für 2.000€ [Werbung]
    •  /