漏洞影響程式商收入
開發人 Dylan Roussel 發現 AppGallery 的 API 有漏洞,透過取得 APK 檔案的下載連結,在毋須付費的情況下就能夠下載任何免費或付費的程式。為了確保並非個別程式的授權認證出錯,Roussel 反覆測試更多程式,結果證實是華為一方的問題導致。這項漏洞除了令華為和開發者有實際金錢損失,不法份子亦可以藉漏洞取得付費的程式,以達到其他可疑的目的。匯報後華為未有解決
Roussel 早在今年 2 月就已經通報華為,並給予對方 5 星期去堵塞漏洞,但至今已經超過 13 星期,由於華為仍然沒有動作,他決定打破沉迷將事件公開。他表示其中一款成功下載的遊戲,因為採用了另一種授權檢查方式導致他無法使用,所以開發者應該考慮加入其他手段,包括 AppGallery DRM Service SDK,去檢查用戶是否有購買過程式,以盡量避免因今次漏洞而構成損失。
資料來源:androidpolice