查看: 2101|回复: 5
收起左侧

[IT业界] 安卓开发者发现华为 AppGallery 漏洞,可免费下载付费应用

[复制链接]
蓝天二号
发表于 2022-5-19 08:13:53 | 显示全部楼层 |阅读模式
IT之家 5 月 19 日消息,自从美国禁令之后,华为新机便失去了对谷歌 GMS 服务的提供。因此,华为不得不投入更多资源开发自己的软件商店和配套服务 —— 华为移动服务 (HMS) 以便在其自家手机上使用,其中就包括华为 AppGallery。

当然,既然是对标 Play 商店,那么 AppGallery 应用商店的意义不仅仅在于推广软件,还包括为付费游戏创收等。但现在有开发者发现了一个华为 AppGallery 漏洞,用户可以藉此免费下载付费 App。

Android 开发者 @dylan Roussel 在探索 AppGallery 商店 API 时发现了一个漏洞,华为通过这一接口返回(与数据请求对应)免费和付费应用程序的 APK 下载链接,而华为 AppGallery 的底层 API 没有为付费应用程序提供任何保护。
b570af01-0af8-4939-96a0-249912d3a95b.png
他尝试了一下,最终发现用户无需为某个特定应用付费,甚至无需登录帐户就可以获得付费应用的有效下载链接。他表示,这个漏洞可以帮助他人轻松下载盗版 App,安装和使用时也没遇到没有任何麻烦。

为了确保这不是一个 App 的许可证验证问题,他还对多个应用程序重复了这一过程 —— 结果表明其他 App 都是一样的反应,证实这一漏洞确实在于华为方面。

他最初于今年 2 月份发现了这一漏洞,随后联系华为方面进行反馈。按照业界规矩,他给了华为 5 周的时间来修复这一漏洞,华为也已经意识到该漏洞并承认了这一点。在 13 周之后,他决定公开这一发现,不过华为仍未公布该漏洞是否已经修复的报告或给出计划修复的时间安排。

IT之家提醒,华为 AppGallery 程序开发人员目前最好的解决办法是确保你的 App 拥有 DRM 保护,例如 AppGallery DRM 服务。它会在用户打开 App 时检查他们是否购买该应用,而且这也是确保应用不会被二次分发给他人的好方法。
superax
发表于 2022-5-19 08:21:45 | 显示全部楼层
下载安装了也没有,付费软件一般打开之后,需要登陆个人账号的
FadexB
发表于 2022-5-19 09:36:55 | 显示全部楼层
没有华为手机
htm123
发表于 2022-5-19 10:06:16 | 显示全部楼层
人家可能不是bug
开局就送vip
星际游侠
发表于 2022-5-19 14:32:37 | 显示全部楼层
哈哈,还有这种事
快乐宝贝
发表于 2022-5-20 07:34:40 | 显示全部楼层
他给了华为 5 周的时间来修复这一漏洞,华为也已经意识到该漏洞并承认了这一点。在 13 周之后,他决定公开这一发现,不过华为仍未公布该漏洞是否已经修复的报告或给出计划修复的时间安排。



看来真的很难修。当然,也可以从另一方面说,是真的X。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 18:16 , Processed in 0.139201 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表