Huawei AppGallery: Fehler erlaubte Gratis-Downloads kostenpflichtiger Apps
von André Westphal | 8 Kommentare
Huawei darf aufgrund der US-Sanktionen auf seinen hauseigenen Smartphones mittlerweile nicht mehr auf den Play Store und die Google-Dienste setzen. Stattdessen behilft man sich mit der AppGallery. Letztere hebt der chinesische Hersteller öffentlichkeitswirksam immer wieder als enormen Erfolg hervor. Ob dies so realistisch ist, darf jeder selbst entscheiden. Aktuell ärgern sich Entwickler jedenfalls: aber nicht über mangelnde Downloads, sondern über einen Fehler, der dazu führte, dass kostenpflichtige Apps mit ein paar Tricks massenhaft gratis bezogen werden konnten.
Der Entwickler Dylan Roussel hat dazu einen langen Blog-Post verfasst. Er hatte Huawei bereits im Februar 2022 wegen des Problems kontaktiert, lange Zeit aber keine Antwort erhalten. Deswegen äußerte er sich in dieser Woche öffentlich zu der Angelegenheit. Mittlerweile hat dann auch Huawei reagiert: Bis 25. Mai 2022 soll der Fehler behoben sein. Im Wesentliche war es möglich, mit ein wenig Geschick simple Download-Links zu kostenpflichtigen Apps aus der Huawei AppGallery zu erhalten und damit jede kostenpflichtige App zu beziehen – ohne zu bezahlen.
Lediglich bei einem Spiel, das seine Lizenz verifizieren wollte, wurde Roussel aufgehalten. Er konnte das Game somit zwar herunterladen und installieren, dann aber nach der Installation nicht aktiv nutzen. Der Entwickler gibt an, dass die ganze Sache womöglich nicht ausgenutzt worden war, aber für Kriminelle sehr spannend gewesen wäre. So hätten jene über die verantwortliche API große Mengen an kostenpflichtigen Apps herunterladen und weiterverteilen können.
Schaut einfach mal in Roussels Post: Er beschreibt dort grob, wie er den Fehler entdeckt hatte. Sauer ist ihm wohl aufgestoßen, dass Huawei lange nicht aktiv mit ihm kommunizierte und der Fehler für mehr als 13 Wochen nicht behoben worden ist. Ob Entwicklern jedoch tatsächlich Einnahmen entgangen sind bzw. der Fehler aktiv genutzt worden ist, ist offen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Nice 😉
M.mn. nach ist dies keine Schwachstelle, sondern zuerst einmal ein Fehler des App-Entwicklers. Wer als Entwickler seine (kostenpflichtige) App schützen möchte, sollte den Lizenzprüfungsmechanismus des App-Stores integrieren, um sicherzustellen, dass nur Nutzer, die dafür bezahlt haben, die App nutzen können.
Huawei räumt dies bereits in seiner Dokumentation ein: „Wenn Sie das SDK [AppGallery DRM Service] nicht integrieren, kann ein Nutzer, der Ihre kostenpflichtige App gekauft hat, die App übertragen, damit andere sie kostenlos nutzen können.
Sie gehen also davon aus, dass Apps nicht geschützt sind bzw. auf eigenes Risiko genutzt werden, wenn keine ordnungsgemäße Lizenzprüfung stattfindet.
Dies erklärt jedoch nicht, warum der APK-Link überhaupt offengelegt wird, aber es macht Sinn, wenn man bedenkt, was Huawei in seiner Dokumentation geschrieben hat.
https://developer.huawei.com/consumer/en/doc/development/AppGallery-connect-Guides/appgallerykit-paidapps-introduction-0000001073582987
lol, natürlich
Huwai bestätigt, dass es Schwachstelle ist und stellt Korrektur bis 25. Mai in Aussicht. Mika widerspricht Huawei. Sieht kein Problem, wenn ohne zu Bezahlen kostenpflichtige Apps direkt aus dem Store geladen werden können. Hier gibt es nichts zu sehen, gehen Sie weiter!
Wäre die Lizenzprüfung ordentlich implementiert, wäre es sch…egal ob sich jemand die App runterlädt, da sie ohne Lizenz nicht läuft.
Schreibt ja auch Roussel und steht auch so im Artikel: „Lediglich bei einem Spiel, das seine Lizenz verifizieren wollte, wurde Roussel aufgehalten. Er konnte das Game somit zwar herunterladen und installieren, dann aber nach der Installation nicht aktiv nutzen.“.
Also: so what?
Da hat Mika auch völlig Recht!
Der Fehler im Store ist bestenfalls der Aufhänger: Es gibt einige Android Apps, die installierte Programme als APK exportieren können. Dieses APK kann sich dann jeder Andere installieren.
Apps, die auf die Store-Prüfung verzichten sind deshalb mach einmaligem Kauf beliebig kopier- und verteilbar. Stellen Sie sich das vielleicht wie das semilegale Teilen von Streaming-Abos vor: Einer zahlt, teilt mit 4 anderen und jeder hat nur 20% für eine Vollversion bezahlt.
@LOL
Mr. Wichtig, du hast ja sowas von Ahnung.
Hab ich lange auch aus dem Google Play Store gemacht, um die gekauften Apps lokal zu sichern. Ist heute aber einfacher, die direkt vom Gerät zu ziehen. Das nennt sich Backup per adb, und ohne Lizenz nützen die Apps einem auch nichts.
->Problem der Programmierer, nicht von Huawei. Was übrigens Huawei so erzählt, würde (ich jedenfalls) nicht unbedingt so übernehmen, das dient eher der Beruhigung aufgeregter Häschen. Jedenfalls nach meinen Erfahrungen mit deren Geräten und Apps.
Da wirklich fast Niemand sich heutzutage die langen Texte durchliest, fordert man stattdessen gerne nur Aktion von anderen ein, und wartet einfach ab. Statt zeitgleich auch selbst tätig zu werden, wenn es um die eigene Kohle geht; in dem Fall (wie Du es beschrrieben hast) wäre das zumindest absolut nachvollziehbar gewesen.
DAS ist das größte Problem an der Sache: „Er hatte Huawei bereits im Februar 2022 wegen des Problems kontaktiert, lange Zeit aber keine Antwort erhalten.“