Kho ứng dụng của Huawei mắc lỗi ngớ ngẩn: Cho phép tải ứng dụng trả phí hoàn toàn... miễn phí

Hồi tháng 5/2019, nhằm tuân theo lệnh cấm của Chính phủ Mỹ, Google đã chính thức dừng hợp tác với Huawei. Điều này khiến cho những chiếc smartphone của Huawei không còn được tích hợp dịch vụ Google, trong đó bao gồm kho ứng dụng Play Store. Nhằm thay thế, Huawei đã tập trung đẩy mạnh kho ứng dụng riêng của mình mang tên AppGallery, kèm theo đó là dịch vụ bổ trợ Huawei Mobile Services.

Mới đây, một lập trình viên mang tên Dylan Roussel đã đăng tải bài viết nói về một lỗ hổng tương đối nghiêm trọng của AppGallery, khi người dùng có thể tải ứng dụng có phí một cách hoàn toàn miễn phí. 

Trong quá trình Dylan Roussel thử nghiệm các hàm API của AppGallery, kết quả trả về bao gồm một đường dẫn (URL) tới file cài đặt (APK) trên máy chủ của Huawei. Tưởng chừng như đường dẫn này chỉ xuất hiện trên những ứng dụng miễn phí, nhưng bất ngờ thay, nó cũng xuất hiện trên cả những ứng dụng trả phí. Lỗ hổng này giúp cho Dylan có thể tải về bất cứ ứng dụng có phí nào trên AppGallery, sau đó cài đặt và sử dụng mà không mất một xu.

Ngay sau khi phát hiện lỗ hổng, Dylan đã lập tức liên hệ với Huawei vào ngày 17/02. Tuy nhiên, sau 90 ngày, Huawei vẫn chưa vá lỗ hổng này, thậm chí còn dừng phản hồi email. Chỉ một ngày trước email cuối cùng của Dylan và bài viết được công bố, Huawei mới thừa nhận lỗ hổng và đang trong quá trình khắc phục.

Một lời khuyên đối với các lập trình viên đang đăng tải ứng dụng tính phí trên AppGallery là họ nên áp dụng các biện pháp kiểm tra bản quyền bên trong ứng dụng, để xác minh rằng người dùng có thật sự đã trả phí cho ứng dụng của mình hay không.