:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/RONVCYDOQVHR5B6BMKZP3OAZRA.jpg)
Huawei ha tenido una trayectoria realmente complicada durante los últimos años. Pasó de convertirse en uno de los fabricantes principales de smartphones en el planeta a ser tal vez el más perseguido por la administración de Donald Trump.
La serie de bloqueos comerciales y tecnológicos impuestos a la compañía terminaron detonando que el fabricante chino perdiera el acceso a los Google Mobile Services (GMS).
Este sistema constituye uno de los núcleos esenciales de cualquier dispositivo Android para que funcione bien, así que la empresa tuvo que salir adelante desarrollado sus Huawei Mobile Services (HMS).
Entre todo ese embrollo los teléfonos inteligentes perdieron acceso a la Google Play Store, por lo que fue necesario crear un propio repositorio nativo.
AppGallery y su vulnerabilidad más delicada
Fue así que nació la Huawei AppGallery, conocida simplemente como AppGallery. La plataforma en donde todos los usuarios de esta marca descargan sus aplicaciones.
Quienes la han probado saben que es prácticamente igual a la Play Store, con todo y un sistema de cobro para las apps que son de paga. Pero alguien acaba de encontrar un problema serio justo en ese apartado.
Dylan Roussel, un desarrollador especializado en Android terminó curioseando por la API de la AppGallery y encontró ahí una vulnerabilidad curiosa.
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/4MJLTX43R5GITPH6LR7V6NJZDY.jpg)
En donde al explotarla podía obtener directamente los enlaces de descarga de los archivos APK para todas las aplicaciones de la plataforma, tanto las gratuitas como las de pago.
Según nos relatan los amigos de 9to5Google, Roussel pudo descargar dichas aplicaciones a través de los enlaces, instalarlas y usarlas sin problemas, aunque no haya pagado por ellas.
Al inicio el sujeto creía que se podía tratar de un problema de verificación de licencia con aplicaciones concretas, pero fue capaz de repetir el proceso con distintas apps de cobro saltando todos los filtros.
En otras palabras, no se trató de un problema inherente a las apps, sino que se comprobó por esta vía que era una fallo de vulnerabilidad en la Huawei AppGallery.
De inmediato Dylan contactó al fabricante para advertirles sobre el error, estableciendo un margen de 5 semanas antes de difundir los hallazgos de su investigación.
Esto sucedió en febrero de 2022, han transcurrido ya cuatro meses sin respuesta por parte de Huawei y Roussel ha decidido entonces revelar el fallo existente en la plataforma.
Obviamente se requeriría de un relativo conocimiento técnico para acceder a esta vulnerabilidad. Pero el antecedente es importante.
