- Batterie ordinateur
- ACER ADVENT ALCATEL AMAZON APPLE ASUS AUTEL BAOFENG BBK BENQ BFDX BLACKBERRY BLACKVIEW BLU BOSE BQ CANON CASIO CAT CHUWI CITIZEN CLEVO CMCC COMPAQ COOLPAD CUBOT DELL DJI DOOGEE DOOV DYNABOOK ECOVACS ELEPHONE ETON FANUC FUJIFILM FUJITSU GARMIN GATEWAY GE GETAC GETONG GIGABYTE GIONEE GOOGLE GOPRO HAIER HASEE HBC HILTI HISENSE HOMTOM HONEYWELL HONGJIE HONOR HP HP_COMPAQ HTC HUAWEI HYTERA IBM ICOM INFINIX INFOCUS ITEL JBL JJRC JUMPER JVC K-TOUCH KENWOOD KIRISUN KODAK KONKA KOOBEE KYOCERA LEAGOO LEICA LENOVO LG LOGITECH MAXELL MEDION MEITU MEIZU MICROMAX MICROSOFT MINDRAY MITSUBISHI MJXRIC MOTOROLA MSI NEC NETGEAR NEWLAND NIKON NOKIA OLYMPUS ONEPLUS OPPO OTHER OUKITEL PACKARD_BELL PANASONIC PARROT PAX PENTAX PHILIPS PRESTIGIO QIKU RAZER REALME RTDPART SAMSUNG SANYO SEIKO SHARK SHARP SIEMENS SONY SUNMI SYMA SYMBOL TADIRAN TCL TECNO TOPCON TOSHIBA TP-LINK TRIMBLE TWINHEAD ULEFONE UMI UMIDIGI UNIWILL UROVO VARTA VERTEX VERTU VIVO WEILI WIKO XIAOMI XINNUAN YAESU YUHUIDA ZEBRA ZTE
TOP DES VENTES
Capacité - Tension
ARTICLES RÉCENTS DU BLOG
>
Tous les articles >
Huawei : une faille permet de télécharger gratuitement des apps payantesHuawei : une faille permet de télécharger gratuitement des apps payantes
L’AppGallery de Huawei est victime d’une faille de sécurité.
Le développeur français Dylan Roussel vient de révéler au grand jour une faille de sécurité sur l’AppGallery, le magasin d’applications du fabricant chinois. En clair, il a réussi à télécharger gratuitement des applications payantes. Pour rappel, le marché américain a banni Huawei de son marché depuis 2019. L’ancienne administration Trump a placé le fabricant sur liste noire, interdisant aux entreprises américaines de lui vendre des technologies sensibles. Par exemple, des microprocesseurs. Le groupe chinois est donc exclu du système d’exploitation Android de Google. Ce qui ne remet pas en cause le fait que les appareils Huawei sont utilisés par des millions de personnes dans d’autres pays.
C’est cette interdiction qui empêche Huawei d’exploiter les services Google Play sur ses appareils. Ainsi, tous les appareils sortis après mai 2019 comprennent un ensemble de diverses applications Huawei qui incluent leur propre magasin d’applications, le Huawei AppGallery.
Une étude de l’API
Dans son article de blog, Dylan Roussel explique qu’il a voulu étudier le fonctionnement de l’API de Huawei. C’est en faisant une requête auprès de cette API qu’il a pu recevoir différentes informations sur l’application demandée. À savoir, la version de l’application, le logo, les images, la description, les autorisations, la date de sortie, le prix, mais surtout, une URL. Cette dernière propose un lien de téléchargement direct de l’application.
“Le lien de téléchargement fonctionnait, mais ce n’était pas une surprise puisque je testais une application gratuite. Je me souviens m’être dit que ce serait génial si ce champ était également disponible pour les applications payantes”, raconte le développeur. Il ajoute, “j’ai donc essayé d’utiliser le nom du paquet d’une application payante”. Et, surprise, cette réponse comprenait un lien de téléchargement similaire à celui de l’application payante, avec le même type de paramètre de signe à la fin.
L’enquêteur a d’abord essayé avec une première application, qu’il a pu installer et utiliser. Suite à cette découverte, il a réessayé avec deux autres applications. Même résultat. C’est seulement lorsqu’il a tenté le coup avec un jeu mobile que la manipulation n’a pas fonctionné. Le jeu contenait une vérification de licence au lancement.
Huawei a (enfin) réagi
Sur son blog, il alerte, des pirates “pourraient utiliser l’API pour télécharger une grande quantité d’applications payantes dans un laps de temps relativement court sans avoir à les payer et sans même avoir besoin de passer par l’AppGallery”.
Dylan Roussel a accordé à Huawei cinq semaines avant de dévoiler cette faille. Lors de la publication de l’article, cela faisait 90 jours qu’il avait envoyé son premier email. Mais, bonne nouvelle, Dylan Roussel a mis à jour son article de blog. “Huawei a communiqué un calendrier pour réparer l’AppGallery et s’est excusé pour la mauvaise communication et la réponse tardive”, peut-on lire. Selon le développeur, le géant chinois corrigera la vulnérabilité pour tout le monde d’ici le 25 mai.