安卓开发者发现华为AppGallery漏洞,可免费下载付费应用
自美国禁令后,华为新机失去了谷歌GMS服务的提供因此,华为不得不投入更多的资源来开发自己的软件商店和配套服务——在自己的手机上使用的华为移动服务,包括华为AppGallery
当然,既然是标杆Play store,AppGallery应用商店的意义就不仅仅是推广软件,更是为付费游戏创收但是现在有开发者发现了一个华为AppGallery漏洞,用户可以通过这个漏洞免费下载付费应用
Android开发者Dylan Roussel在探索AppGallery商店API时发现了一个漏洞华为通过这个接口返回免费和付费应用的APK下载链接,而华为AppGallery的底层API并没有为付费应用提供任何保护
他尝试了一下,最终发现用户不需要为某个特定的app付费,甚至不需要登录账号,就可以获得付费app的有效下载链接他说,这个漏洞可以帮助别人轻松下载盗版app,安装使用时没有任何麻烦
为了确保这不是App许可验证问题,他还对多个应用重复了这个过程——结果显示其他App也有同样的反应,证实了这个漏洞真的在华为。
他在今年2月首次发现了这个漏洞,随后联系华为进行反馈按照行业规则,他给了华为五周时间来修复这个漏洞,华为已经意识到并承认了13周后,他决定将这一发现公之于众,但华为仍未发布关于漏洞是否已被修复的报告,也未给出计划修复的时间表
本站提醒,华为AppGallery开发者目前最好的解决方案就是确保你的app有DRM保护,比如AppGallery DRM服务它会在用户打开应用时检查用户是否购买了该应用,这也是一个很好的方法来确保该应用不会再次分发给其他人
声明:以上内容为本网站转自其它媒体,相关信息仅为传递更多企业信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性。投资有风险,需谨慎。