© Pierre Crochart pour Clubic
© Pierre Crochart pour Clubic

Un développeur a pu repérer une faille dans l'API de la boutique d'applications du constructeur qui permet de pirater des applications payantes.

Le chemin a été sinueux pour Huawei, qui a dû se passer des services Google et du Google Play Store suite à une décision prise par Donald Trump, alors président des États-Unis, en 2019.

Une nouvelle boutique d'applications développée dans l'urgence

Le constructeur chinois n'a pas eu d'autre choix que de construire de toutes pièces son écosystème logiciel, mais également sa propre boutique applicative avec l'App Gallery, et a dû convaincre les différents éditeurs de réserver quelques-unes de leurs ressources pour adapter leurs logiciels aux smartphones Huawei.

Seulement ce développement à l'arrachée s'accompagne de failles, comme l'a récemment découvert Dylan Roussel, un développeur qui a publié sur son blog les différentes étapes qui l'ont mené à identifier ce trou de sécurité.

C'est en analysant l'API utilisée par Huawei que le développeur a pu récupérer toutes les informations de l'application payante de l'un de ses amis, mais également l'URL pour récupérer le paquet d'installation sans avoir à payer un seul centime.

Une faille béante, facilement exploitable et toujours pas corrigée par le constructeur

Dylan Roussel a mené sa petite enquête sur plusieurs applications et jeux avec à chaque fois le même résultat et la possibilité de récupérer tous ces contenus gratuitement. Seul un jeu, qui possédait une vérification de la licence au démarrage, n'a pas pu fonctionner correctement.

Bien évidemment, le développeur a contacté les services de Huawei pour leur faire part de sa découverte. En effet, une faille aussi grosse est un risque pour les développeurs, qui peuvent perdre une grosse partie de leurs revenus si elle est utilisée massivement.

Le constructeur lui a répondu immédiatement mais n'a donné aucun délai pour la résolution du problème, l'invitant simplement à taire sa découverte entre-temps. C'est seulement 13 semaines après son premier mail que l'homme a décidé de rendre tout cela public pour forcer Huawei à agir rapidement.

Pour l'heure la marque n'a toujours pas donné d'informations concrètes ou de délai pour la résolution de ce problème.