• Home
  • Conseils
  • Huawei : une faille permet de télécharger gratuitement des apps payantes
Huawei : une faille permet de télécharger gratuitement des apps payantes

L’AppGallery de Huawei est victime d’une faille de sécurité.

Le développeur français Dylan Roussel vient de révéler au grand jour une faille de sécurité sur l’AppGallery, le magasin d’applications du fabricant chinois. En clair, il a réussi à télécharger gratuitement des applications payantes. Pour rappel, le marché américain a banni Huawei de son marché depuis 2019. L’ancienne administration Trump a placé le fabricant sur liste noire, interdisant aux entreprises américaines de lui vendre des technologies sensibles. Par exemple, des microprocesseurs. Le groupe chinois est donc exclu du système d’exploitation Android de Google. Ce qui ne remet pas en cause le fait que les appareils Huawei sont utilisés par des millions de personnes dans d’autres pays.

C’est cette interdiction qui empêche Huawei d’exploiter les services Google Play sur ses appareils. Ainsi, tous les appareils sortis après mai 2019 comprennent un ensemble de diverses applications Huawei qui incluent leur propre magasin d’applications, le Huawei AppGallery.

Une étude de l’API
Dans son article de blog, Dylan Roussel explique qu’il a voulu étudier le fonctionnement de l’API de Huawei. C’est en faisant une requête auprès de cette API qu’il a pu recevoir différentes informations sur l’application demandée. À savoir, la version de l’application, le logo, les images, la description, les autorisations, la date de sortie, le prix, mais surtout, une URL. Cette dernière propose un lien de téléchargement direct de l’application.

“Le lien de téléchargement fonctionnait, mais ce n’était pas une surprise puisque je testais une application gratuite. Je me souviens m’être dit que ce serait génial si ce champ était également disponible pour les applications payantes”, raconte le développeur. Il ajoute, “j’ai donc essayé d’utiliser le nom du paquet d’une application payante”. Et, surprise, cette réponse comprenait un lien de téléchargement similaire à celui de l’application payante, avec le même type de paramètre de signe à la fin.

L’enquêteur a d’abord essayé avec une première application, qu’il a pu installer et utiliser. Suite à cette découverte, il a réessayé avec deux autres applications. Même résultat. C’est seulement lorsqu’il a tenté le coup avec un jeu mobile que la manipulation n’a pas fonctionné. Le jeu contenait une vérification de licence au lancement.

Huawei a (enfin) réagi
Sur son blog, il alerte, des pirates “pourraient utiliser l’API pour télécharger une grande quantité d’applications payantes dans un laps de temps relativement court sans avoir à les payer et sans même avoir besoin de passer par l’AppGallery”.

Dylan Roussel a accordé à Huawei cinq semaines avant de dévoiler cette faille. Lors de la publication de l’article, cela faisait 90 jours qu’il avait envoyé son premier email. Mais, bonne nouvelle, Dylan Roussel a mis à jour son article de blog. “Huawei a communiqué un calendrier pour réparer l’AppGallery et s’est excusé pour la mauvaise communication et la réponse tardive”, peut-on lire. Selon le développeur, le géant chinois corrigera la vulnérabilité pour tout le monde d’ici le 25 mai.