安卓開發者發現華為 AppGallery 漏洞,可免費下載付費應用

語言: CN / TW / HK

IT之家 5 月 19 日訊息,自從美國禁令之後,華為新機便失去了對谷歌 GMS 服務的提供。因此,華為不得不投入更多資源開發自己的軟體商店和配套服務 —— 華為移動服務 (HMS) 以便在其自家手機上使用,其中就包括華為 AppGallery。

當然,既然是對標 Play 商店,那麼 AppGallery 應用商店的意義不僅僅在於推廣軟體,還包括為付費遊戲創收等。但現在有開發者發現了一個華為 AppGallery 漏洞,使用者可以藉此免費下載付費 App。

Android 開發者 @Dylan Roussel 在探索 AppGallery 商店 API 時發現了一個漏洞,華為通過這一介面返回(與資料請求對應)免費和付費應用程式的 APK 下載連結,而華為 AppGallery 的底層 API 沒有為付費應用程式提供任何保護。

他嘗試了一下,最終發現使用者無需為某個特定應用付費,甚至無需登入帳戶就可以獲得付費應用的有效下載連結。他表示,這個漏洞可以幫助他人輕鬆下載盜版 App,安裝和使用時也沒遇到沒有任何麻煩。

為了確保這不是一個 App 的許可證驗證問題,他還對多個應用程式重複了這一過程 —— 結果表明其他 App 都是一樣的反應,證實這一漏洞確實在於華為方面。

他最初於今年 2 月份發現了這一漏洞,隨後聯絡華為方面進行反饋。按照業界規矩,他給了華為 5 周的時間來修復這一漏洞,華為也已經意識到該漏洞並承認了這一點。在 13 周之後,他決定公開這一發現,不過華為仍未公佈該漏洞是否已經修復的報告或給出計劃修復的時間安排。

IT之家提醒,華為 AppGallery 程式開發人員目前最好的解決辦法是確保你的 App 擁有 DRM 保護,例如 AppGallery DRM 服務。它會在使用者開啟 App 時檢查他們是否購買該應用,而且這也是確保應用不會被二次分發給他人的好方法。

「其他文章」