华为手机怎么了?
5月19日消息,自美国禁令以来,华为新机已经失去了谷歌GMS服务的提供。因此,华为不得不投入更多的资源开发自己的软件商店和配套服务 mdash mdash华为移动服务(HMS)用于自己的手机,包括华为AppGallery。
当然,既然是标杆Play store,AppGallery应用商店的意义就不仅仅是推广软件,更是为付费游戏创收。但是现在有开发者发现了一个华为AppGallery漏洞,用户可以通过这个漏洞免费下载付费应用。
Android开发者@Dylan Roussel在探索AppGallery商店API时发现了一个漏洞。华为通过这个接口返回(对应数据请求)免费和付费应用的APK下载链接,而华为AppGallery的底层API并没有为付费应用提供任何保护。
他尝试了一下,最终发现用户不需要为某个特定的app付费,甚至不需要登录账号,就可以获得付费app的有效下载链接。他说,这个漏洞可以帮助别人轻松下载盗版app,安装使用没有任何麻烦。
为了确保这不是一个App许可证验证问题,他还对多个应用重复了这个过程 mdash mdash结果显示其他app也有同样的反应,证实了这个漏洞真的在华为。
他在今年2月首次发现了这个漏洞,随后联系华为进行反馈。按照行业规则,他给了华为五周时间来修复这个漏洞,华为已经意识到并承认了。13周后,他决定将这一发现公之于众,但华为仍未发布关于漏洞是否已被修复的报告,也未给出计划修复的时间表。
边肖,华为AppGallery开发者目前最好的解决方案就是确保你的app有DRM保护,比如AppGallery DRM服务。它会在用户打开应用时检查用户是否购买了该应用,这也是一个很好的方法来确保该应用不会再次分发给其他人。
