La tienda de aplicaciones de Huawei, la denominada como AppGallery, sufre un grave problema de seguridad a tenor de un reciente descubrimiento: dicha tienda permite descargar las aplicaciones de pago sin ningún coste aprovechando un agujero en la manera de administrar las instalaciones. Pese a conocer el alcance del problema, Huawei aún no lo ha podido solucionar.
Una buena parte de fabricantes Android posee su propia tienda de aplicaciones, como ocurre con Samsung y su Galaxy Store o Huawei con su AppGallery. Precisamente, el disponer de una tienda diferenciada de Google Play Store mitigó en gran parte el impacto que ha tenido el veto estadounidense sobre Huawei ya que los usuarios de la marca pueden seguir descargando aplicaciones con relativa normalidad, tanto gratis como de pago. Eso sí, parece que el funcionamiento de la AppGallery no es todo lo pulido que debería.
La API de la AppGallery muestra enlaces privados de descarga públicamente
Apps de pago en Huawei AppGallery
La tienda de apps de Huawei incluye una inmensa cantidad de software para todos los gustos. No se equipara al 100 % con la tienda oficial de Android, pero sí es cierto que una buena parte de las aplicaciones está disponible pese a las dificultades con Google. Incluso ofrece apps de pago; unas apps que, según comprobaron algunos desarrolladores, pueden descargarse gratis desde la propia AppGallery.
El descubrimiento partió de Dylan Roussel, un conocido desarrollador y periodista que a menudo colabora con 9to5Google. Como explicó Dylan en su blog, el sistema de administración de descargas de la Huawei AppGallery tiene una brecha de seguridad que habilita la descarga de las apps "premium" sin ningún coste y sin realizar modificaciones a la aplicación de la tienda. El problema radica en la API que comunica los dispositivos con los servidores de Huawei.
La API que utiliza Huawei para gestionar las descargas de AppGallery devuelve el enlace privado de descarga para todas las aplicaciones tras una consulta, sean apps de pago como gratuitas. Debido a un agujero de seguridad, los servidores no comprueban si la descarga del APK está o no autorizada: el archivo se descarga automáticamente; lo cual supone un enorme perjuicio para todos los desarrolladores que suben sus apps de pago a la tienda.
Mensaje de respuesta de la API de AppGallery con el enlace privado de descarga
El agujero de seguridad no sólo facilita el enlace a las descargas de las apps tras una consulta pública mediante la API de Huawei, tampoco posee un sistema de autenticación que garantice la instalación sólo a aquellos que compraron el software. En el código mostrado por Dylan Roussel aparece un taxon en la URL denominado como "sign", un elemento que debería servir para autenticar la descarga como autorizada. En la práctica, basta con conocer el enlace privado para descargar la aplicación en APK.
Un último problema relacionado es el de la comprobación de si es una app comprada legalmente o descargada por otras vías: según la investigación de Dylan, las apps instaladas mediante el enlace de la API funcionan perfectamente y sin realizar confirmaciones de compra, algo que sí hace Google en su Play Store.
Nos hemos puesto en contacto con Huawei para conocer su postura en torno a este problema de seguridad en su tienda. Conforme recibamos una respuesta actualizaremos este artículo.
Vía | Dylan Roussel, 9to5Google
Ver 4 comentarios