安卓開發者發現華為 AppGallery 漏洞,可免費下載付費應用
IT之家 5 月 19 日訊息,自從美國禁令之後,華為新機便失去了對谷歌 GMS 服務的提供。因此,華為不得不投入更多資源開發自己的軟體商店和配套服務 —— 華為移動服務 (HMS) 以便在其自家手機上使用,其中就包括華為 AppGallery。
當然,既然是對標 Play 商店,那麼 AppGallery 應用商店的意義不僅僅在於推廣軟體,還包括為付費遊戲創收等。但現在有開發者發現了一個華為 AppGallery 漏洞,使用者可以藉此免費下載付費 App。
Android 開發者 @Dylan Roussel 在探索 AppGallery 商店 API 時發現了一個漏洞,華為通過這一介面返回(與資料請求對應)免費和付費應用程式的 APK 下載連結,而華為 AppGallery 的底層 API 沒有為付費應用程式提供任何保護。
他嘗試了一下,最終發現使用者無需為某個特定應用付費,甚至無需登入帳戶就可以獲得付費應用的有效下載連結。他表示,這個漏洞可以幫助他人輕鬆下載盜版 App,安裝和使用時也沒遇到沒有任何麻煩。
為了確保這不是一個 App 的許可證驗證問題,他還對多個應用程式重複了這一過程 —— 結果表明其他 App 都是一樣的反應,證實這一漏洞確實在於華為方面。
他最初於今年 2 月份發現了這一漏洞,隨後聯絡華為方面進行反饋。按照業界規矩,他給了華為 5 周的時間來修復這一漏洞,華為也已經意識到該漏洞並承認了這一點。在 13 周之後,他決定公開這一發現,不過華為仍未公佈該漏洞是否已經修復的報告或給出計劃修復的時間安排。
IT之家提醒,華為 AppGallery 程式開發人員目前最好的解決辦法是確保你的 App 擁有 DRM 保護,例如 AppGallery DRM 服務。它會在使用者開啟 App 時檢查他們是否購買該應用,而且這也是確保應用不會被二次分發給他人的好方法。
- 光器件龍頭企業 II-VI 收購 Coherent 鐳射公司獲中國批准,交易總價約 70 億美元
- 改換安卓最強芯天璣 9000 ?雷軍預熱 L2M 新機,此前爆料為小米 12S Pro 天璣 9000 版
- 中國廣電推出“5G 頻道”體驗版 App,採用“智慧廣電”Logo
- 三星以約 3 億美元收購德國顯示器公司 Cynora GmbH 並進行裁員
- 分析師:蘋果 6 月季度營收不會“太黯淡”,但 Mac 和 iPad 增長會放緩
- 美光:預計本季度總營收 72 億美元減少 10%,將利用庫存滿足訂單需求
- 2022 卡達世界盃用上新的“黑科技”:足球內嵌感測器,12 個攝像頭追蹤越位,還能生成 3D 動畫
- 特斯拉車主驚魂拔草最新 FSD:醒目如有軌電車,依然視而不見往上撞
- 得益於驍龍 8 能效躍升,小米 12S 手機續航能力相比小米 12 大幅提升 15%
- 華為 P50 Pocket 摺疊屏推送鴻蒙 HarmonyOS 2.0.1.191 更新:支援映象智拍功能
- Linux 核心將引入 Rust,Linus:以防此事搞砸了我又發脾氣,先給大家道個歉
- T-Mobile 運營商宣佈:Sprint 網路正式關閉
- 諾基亞新平板通過美國 FCC 認證,擁有 8 英寸螢幕 5100mAh 電池
- 499 元,小米推出新款 Redmi 顯示器:21.5 英寸 75Hz 300nit VA 面板、全域性 DC 調光
- 寶馬 i3 正式停產,8 年共售出 25 萬臺
- 測試顯示蘋果 M2 MacBook Pro 散熱不佳,全速執行溫度高達 108℃並降頻
- 英特爾 Arc 獨顯驅動自帶高階效能優化,3DMark TimeSpy 跑分提高 15% 引發爭議
- 特斯拉計劃縮減董事會規模,維權投資者團體要求 SEC 介入調查
- 蘋果在英國被起訴:App Store 抽成過高違反競爭法,使用者被迫承擔高溢價
- Meta 宣佈 9 月關閉其加密貨幣專案,將技術投入 Web3 和元宇宙中去