Разработчик из Франции обнаружил неприятную для него — и приятную для многих других — уязвимость в Huawei AppGallery. Исследуя API китайского магазина приложений, он обнаружил, что сервер передаёт клиенту (будь то приложение Huawei AppGallery или человек, запрашивающий данные вручную) ссылку для скачивания приложения, вне зависимости от того, является оно бесплатным или платным, куплено оно пользователем или нет. Эти ссылки тоже не содержат никакой проверки, и перейдя по ним можно загрузить .apk-файл, даже если приложение не было куплено. Конечно же, этот .apk-файл можно установить и использовать приложение, как будто вы его купили.
Разработчик, обнаруживший проблему, сообщил о ней Huawei ещё в середине февраля. Причём он это сделал ровно так, как рекомендует компания — зашифрованным электронным письмом, после чего получил ответ в виде незашифрованного письма, содержавшего в себе текст исходного письма. Наплевательское отношение к безопасности этим не ограничилось: компания попросила не публиковать информацию на протяжении 5 недель, чтобы исправить проблему, но не исправила её ни за 5 недель, ни за три месяца, а отвечать на письма разработчика перестала.
После этого разработчик опубликовал информацию об уязвимости, однако неполную: он не указал, какое именно API столь неаккуратно возвращает ссылки, а его обнаружение является наиболее сложной задачей. Таким образом, не обладая специальными знаниями, использовать уязвимость будет довольно трудно. Впрочем, даже такая полупубликация уязвимости подействовала на Huawei: уже на следующий день компания начала распространять исправление обновления, пообещав закончить процесс к 25 мая.