安卓開發(fā)者發(fā)現(xiàn)華為 AppGallery 漏洞，可免費下載付費應用

IT之家 5 月 19 日消息，自從美國禁令之后，華為新機便失去了對谷歌 GMS 服務的提供。因此，華為不得不投入更多資源開發(fā)自己的軟件商店和配套服務 —— 華為移動服務 (HMS) 以便在其自家手機上使用，其中就包括華為 AppGallery。

當然，既然是對標 Play 商店，那么 AppGallery 應用商店的意義不僅僅在于推廣軟件，還包括為付費游戲創(chuàng)收等。但現(xiàn)在有開發(fā)者發(fā)現(xiàn)了一個華為 AppGallery 漏洞，用戶可以藉此免費下載付費 App。

Android 開發(fā)者 @Dylan Roussel 在探索 AppGallery 商店 API 時發(fā)現(xiàn)了一個漏洞，華為通過這一接口返回（與數據請求對應）免費和付費應用程序的 APK 下載鏈接，而華為 AppGallery 的底層 API 沒有為付費應用程序提供任何保護。

他嘗試了一下，最終發(fā)現(xiàn)用戶無需為某個特定應用付費，甚至無需登錄帳戶就可以獲得付費應用的有效下載鏈接。他表示，這個漏洞可以幫助他人輕松下載盜版 App，安裝和使用時也沒遇到任何麻煩。

為了確保這不是一個 App 的許可證驗證問題，他還對多個應用程序重復了這一過程 —— 結果表明其他 App 都是一樣的反應，證實這一漏洞確實在于華為方面。

他最初于今年 2 月份發(fā)現(xiàn)了這一漏洞，隨后聯(lián)系華為方面進行反饋。按照業(yè)界規(guī)矩，他給了華為 5 周的時間來修復這一漏洞，華為也已經意識到該漏洞并承認了這一點。在 13 周之后，他決定公開這一發(fā)現(xiàn)，不過華為仍未公布該漏洞是否已經修復的報告或給出計劃修復的時間安排。

IT之家提醒，華為 AppGallery 程序開發(fā)人員目前最好的解決辦法是確保你的 App 擁有 DRM 保護，例如 AppGallery DRM 服務。它會在用戶打開 App 時檢查他們是否購買該應用，而且這也是確保應用不會被二次分發(fā)給他人的好方法。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。