自從美國(guó)禁令之后��,華為新機(jī)便失去了對(duì)谷歌GMS服務(wù)的提供�����。因此�����,華為不得不投入更多資源開(kāi)發(fā)自己的軟件商店和配套服務(wù)——華為移動(dòng)服務(wù)(HMS)以便在其自家手機(jī)上使用��,其中就包括華為AppGallery�。
IT之家 5月19日消息,自從美國(guó)禁令之后�,華為新機(jī)便失去了對(duì)谷歌GMS服務(wù)的提供。因此�����,華為不得不投入更多資源開(kāi)發(fā)自己的軟件商店和配套服務(wù)——華為移動(dòng)服務(wù)(HMS)以便在其自家手機(jī)上使用����,其中就包括華為AppGallery���。
當(dāng)然����,既然是對(duì)標(biāo)Play商店,那么AppGallery應(yīng)用商店的意義不僅僅在于推廣軟件�����,還包括為付費(fèi)游戲創(chuàng)收等��。但現(xiàn)在有開(kāi)發(fā)者發(fā)現(xiàn)了一個(gè)華為AppGallery漏洞����,用戶可以藉此免費(fèi)下載付費(fèi)App。
Android開(kāi)發(fā)者 Dylan Roussel在探索AppGallery商店API時(shí)發(fā)現(xiàn)了一個(gè)漏洞���,華為通過(guò)這一接口返回(與數(shù)據(jù)請(qǐng)求對(duì)應(yīng))免費(fèi)和付費(fèi)應(yīng)用程序的APK下載鏈接�,而華為AppGallery的底層API沒(méi)有為付費(fèi)應(yīng)用程序提供任何保護(hù)���。
他嘗試了一下�����,最終發(fā)現(xiàn)用戶無(wú)需為某個(gè)特定應(yīng)用付費(fèi)���,甚至無(wú)需登錄帳戶就可以獲得付費(fèi)應(yīng)用的有效下載鏈接。他表示����,這個(gè)漏洞可以幫助他人輕松下載盜版App,安裝和使用時(shí)也沒(méi)遇到任何麻煩�����。
為了確保這不是一個(gè)App的許可證驗(yàn)證問(wèn)題,他還對(duì)多個(gè)應(yīng)用程序重復(fù)了這一過(guò)程——結(jié)果表明其他App都是一樣的反應(yīng)��,證實(shí)這一漏洞確實(shí)在于華為方面����。
他最初于今年2月份發(fā)現(xiàn)了這一漏洞,隨后聯(lián)系華為方面進(jìn)行反饋�����。按照業(yè)界規(guī)矩��,他給了華為5周的時(shí)間來(lái)修復(fù)這一漏洞�����,華為也已經(jīng)意識(shí)到該漏洞并承認(rèn)了這一點(diǎn)����。在13周之后,他決定公開(kāi)這一發(fā)現(xiàn)�,不過(guò)華為仍未公布該漏洞是否已經(jīng)修復(fù)的報(bào)告或給出計(jì)劃修復(fù)的時(shí)間安排。
IT之家提醒,華為AppGallery程序開(kāi)發(fā)人員目前最好的解決辦法是確保你的App擁有DRM保護(hù)�����,例如AppGallery DRM服務(wù)�����。它會(huì)在用戶打開(kāi)App時(shí)檢查他們是否購(gòu)買該應(yīng)用�����,而且這也是確保應(yīng)用不會(huì)被二次分發(fā)給他人的好方法�。
立即登錄���,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
