android开发者发现华为appgallery漏洞 IT之家5月19日消息

IT之家5月19日消息，自从美国禁令之后，华为新机便失去了对谷歌GMS服务的提供。因此，华为不得不投入更多资源开发自己的软件商店和配套服务——华为移动服务(HMS)以便在其自家手机上使用，其中就包括华为AppGallery 。
【android开发者发现华为appgallery漏洞】当然，既然是对标Play商店，那么AppGallery应用商店的意义不仅仅在于推广软件，还包括为付费游戏创收等。但现在有开发者发现了一个华为AppGallery漏洞，用户可以藉此免费下载付费App 。
Android开发者@DylanRoussel在探索AppGallery商店API时发现了一个漏洞，华为通过这一接口返回（与数据请求对应）免费和付费应用程序的APK下载链接，而华为AppGallery的底层API没有为付费应用程序提供任何保护。

文章图片

文章图片

他尝试了一下，最终发现用户无需为某个特定应用付费，甚至无需登录帐户就可以获得付费应用的有效下载链接。他表示，这个漏洞可以帮助他人轻松下载盗版App ，安装和使用时也没遇到没有任何麻烦。
为了确保这不是一个App的许可证验证问题，他还对多个应用程序重复了这一过程——结果表明其他App都是一样的反应，证实这一漏洞确实在于华为方面。
他最初于今年2月份发现了这一漏洞，随后联系华为方面进行反馈。按照业界规矩，他给了华为5周的时间来修复这一漏洞，华为也已经意识到该漏洞并承认了这一点。在13周之后，他决定公开这一发现，不过华为仍未公布该漏洞是否已经修复的报告或给出计划修复的时间安排。
IT之家提醒，华为AppGallery程序开发人员目前最好的解决办法是确保你的App拥有DRM保护，例如AppGalleryDRM服务。它会在用户打开App时检查他们是否购买该应用，而且这也是确保应用不会被二次分发给他人的好方法。