Im Leben ist vieles eine Frage der Perspektive. Das gilt auch für Sicherheitslücken: Was für die einen ein ziemlich unerfreuliches Ereignis ist, mag anderen durchaus zupass kommen. So ist das wohl auch bei der folgenden Nachricht.

Kostenpflichtig wird kostenlos

Android-Entwickler Dylan Roussel hat eine schwere Lücke in der Huawei App Gallery entdeckt. Wie sich herausstellt, bietet der App Store des chinesischen Hardwareherstellers keinerlei relevanten Schutz für kostenpflichtige Apps. Das Resultat: Wer weiß, wie kann über die App Gallery jede Bezahl-App kostenlos herunterladen.

In einem Blogposting erläutert Roussel die Hintergründe. Aus simpler Neugier habe er sich Anfang Februar einmal die Programmierschnittstellen der App Gallery näher angesehen Schnell habe er dabei festgestellt, dass selbst bei kostenpflichten Programmen der zugehörige Download-Link problemlos ermittelt werden kann – diese also ungeschützt verfügbar sind.

In seinen Tests konnte Roussel dann auch mehrere Bezahl-Apps herunterladen und uneingeschränkt nutzen. Lediglich eine davon war mit einer zusätzlichen Prüfroutine ausgestattet, um sicherzustellen, dass die App wirklich käuflich erworben wurde. Diese ließ sich dann zwar installieren aber nicht nutzen.

Langsame Reaktion

Doch es ist nicht nur das Vorhandensein einer solch trivialen Lücke, die ein schlechtes Licht auf Huawei wirft. Auch die Reaktion auf das Problem lässt einiges zu wünschen übrig. So hat Roussel nach eigenen Angaben den Fehler bereits Mitte Februar an Huawei gemeldet – und zwar extra in einer PGP-verschlüsselten Mail, damit ja keine Details von anderen mitgelesen werden können. Darauf folgte die Aufforderung des Unternehmens, diese Lücke nicht öffentlich zu machen, das aber in einer nicht verschlüsselten Nachricht.

Er habe dem Unternehmen dann fünf Wochen Zeit gegeben, den Fehler zu bereinigen, betont Roussel. Auf die folgende Kommunikation habe Huawei aber irgendwann gar nicht mehr reagiert. 13 Wochen später habe er sich nun schlussendlich dazu entschlossen an die Öffentlichkeit zu gehen. Dies entspricht einem Zeitrahmen von 90 Tagen, wie ihn mittlerweile auch viele Sicherheitsforscher Unternehmen setzen, wenn sie sicherheitsrelevante Lücken entdecken.

Update kommt

Nach Veröffentlichung seines Blogpostings, ging es dann plötzlich schnell: Huawei verspricht die Lücke bis bis zum 25. Mai zu bereinigen. Anders gesagt: Laut Roussell ist es derzeit noch immer möglich, Bezahl-Apps kostenlos aus der App Gallery herunterzuladen.

Die Huawei App Gallery ist seit Jahren auf allen Smartphones des Unternehmens vorinstalliert. Seit dem Handelsbann der USA ist es gar der zentrale Weg zur App-Installation, darf der chinesische Hardwarehersteller seitdem doch den Play Store nicht mehr ausliefern. (apo, 21.5.2022)