自從美國禁令之后����,華為新機便失去了對谷歌GMS服務的提供����。因此����,華為不得不投入更多資源開發(fā)自己的軟件商店和配套服務——華為移動服務(HMS)以便在其自家手機上使用,其中就包括華為AppGallery����。
IT之家 5月19日消息,自從美國禁令之后�,華為新機便失去了對谷歌GMS服務的提供。因此�,華為不得不投入更多資源開發(fā)自己的軟件商店和配套服務——華為移動服務(HMS)以便在其自家手機上使用,其中就包括華為AppGallery�����。
當然����,既然是對標Play商店,那么AppGallery應用商店的意義不僅僅在于推廣軟件�����,還包括為付費游戲創(chuàng)收等。但現(xiàn)在有開發(fā)者發(fā)現(xiàn)了一個華為AppGallery漏洞��,用戶可以藉此免費下載付費App����。
Android開發(fā)者 Dylan Roussel在探索AppGallery商店API時發(fā)現(xiàn)了一個漏洞�,華為通過這一接口返回(與數(shù)據(jù)請求對應)免費和付費應用程序的APK下載鏈接,而華為AppGallery的底層API沒有為付費應用程序提供任何保護�。
他嘗試了一下,最終發(fā)現(xiàn)用戶無需為某個特定應用付費����,甚至無需登錄帳戶就可以獲得付費應用的有效下載鏈接。他表示��,這個漏洞可以幫助他人輕松下載盜版App�����,安裝和使用時也沒遇到任何麻煩�����。
為了確保這不是一個App的許可證驗證問題,他還對多個應用程序重復了這一過程——結果表明其他App都是一樣的反應�����,證實這一漏洞確實在于華為方面��。
他最初于今年2月份發(fā)現(xiàn)了這一漏洞�����,隨后聯(lián)系華為方面進行反饋�����。按照業(yè)界規(guī)矩��,他給了華為5周的時間來修復這一漏洞�,華為也已經(jīng)意識到該漏洞并承認了這一點。在13周之后����,他決定公開這一發(fā)現(xiàn),不過華為仍未公布該漏洞是否已經(jīng)修復的報告或給出計劃修復的時間安排����。
IT之家提醒,華為AppGallery程序開發(fā)人員目前最好的解決辦法是確保你的App擁有DRM保護,例如AppGallery DRM服務����。它會在用戶打開App時檢查他們是否購買該應用,而且這也是確保應用不會被二次分發(fā)給他人的好方法��。
立即登錄����,閱讀全文
閩公網(wǎng)安備 35010202001226號
