安卓開發(fā)者發(fā)現(xiàn)華為 AppGallery 漏洞，可免費(fèi)下載付費(fèi)應(yīng)用

IT之家 5 月 19 日消息，自從美國(guó)禁令之后，華為新機(jī)便失去了對(duì)谷歌 GMS 服務(wù)的提供。因此，華為不得不投入更多資源開發(fā)自己的軟件商店和配套服務(wù) —— 華為移動(dòng)服務(wù) (HMS) 以便在其自家手機(jī)上使用，其中就包括華為 AppGallery。

當(dāng)然，既然是對(duì)標(biāo) Play 商店，那么 AppGallery 應(yīng)用商店的意義不僅僅在于推廣軟件，還包括為付費(fèi)游戲創(chuàng)收等。但現(xiàn)在有開發(fā)者發(fā)現(xiàn)了一個(gè)華為 AppGallery 漏洞，用戶可以藉此免費(fèi)下載付費(fèi) App。

Android 開發(fā)者 @Dylan Roussel 在探索 AppGallery 商店 API 時(shí)發(fā)現(xiàn)了一個(gè)漏洞，華為通過這一接口返回（與數(shù)據(jù)請(qǐng)求對(duì)應(yīng)）免費(fèi)和付費(fèi)應(yīng)用程序的 APK 下載鏈接，而華為 AppGallery 的底層 API 沒有為付費(fèi)應(yīng)用程序提供任何保護(hù)。

他嘗試了一下，最終發(fā)現(xiàn)用戶無需為某個(gè)特定應(yīng)用付費(fèi)，甚至無需登錄帳戶就可以獲得付費(fèi)應(yīng)用的有效下載鏈接。他表示，這個(gè)漏洞可以幫助他人輕松下載盜版 App，安裝和使用時(shí)也沒遇到任何麻煩。

為了確保這不是一個(gè) App 的許可證驗(yàn)證問題，他還對(duì)多個(gè)應(yīng)用程序重復(fù)了這一過程 —— 結(jié)果表明其他 App 都是一樣的反應(yīng)，證實(shí)這一漏洞確實(shí)在于華為方面。

他最初于今年 2 月份發(fā)現(xiàn)了這一漏洞，隨后聯(lián)系華為方面進(jìn)行反饋。按照業(yè)界規(guī)矩，他給了華為 5 周的時(shí)間來修復(fù)這一漏洞，華為也已經(jīng)意識(shí)到該漏洞并承認(rèn)了這一點(diǎn)。在 13 周之后，他決定公開這一發(fā)現(xiàn)，不過華為仍未公布該漏洞是否已經(jīng)修復(fù)的報(bào)告或給出計(jì)劃修復(fù)的時(shí)間安排。

IT之家提醒，華為 AppGallery 程序開發(fā)人員目前最好的解決辦法是確保你的 App 擁有 DRM 保護(hù)，例如 AppGallery DRM 服務(wù)。它會(huì)在用戶打開 App 時(shí)檢查他們是否購(gòu)買該應(yīng)用，而且這也是確保應(yīng)用不會(huì)被二次分發(fā)給他人的好方法。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。