華為 AppGallery 揭漏洞   收費程式可免費下載

虎仔 / 馬日山 | Huawei
被美國商務部納入實體清單後,華為更積極開發自家 Huawei Mobile Services(HMS)以取代無法使用的 Google 流動服務,其中 AppGallery 應用程式商店就是 Google Play Store 的替代品。最近有 Android 開發者發現 AppGallery 有漏洞,用戶隨時可以免費下載到收費的程式。
 

漏洞影響程式商收入

開發人 Dylan Roussel 發現 AppGallery 的 API 有漏洞,透過取得 APK 檔案的下載連結,在毋須付費的情況下就能夠下載任何免費或付費的程式。為了確保並非個別程式的授權認證出錯,Roussel 反覆測試更多程式,結果證實是華為一方的問題導致。這項漏洞除了令華為和開發者有實際金錢損失,不法份子亦可以藉漏洞取得付費的程式,以達到其他可疑的目的。
 

匯報後華為未有解決

Roussel 早在今年 2 月就已經通報華為,並給予對方 5 星期去堵塞漏洞,但至今已經超過 13 星期,由於華為仍然沒有動作,他決定打破沉迷將事件公開。他表示其中一款成功下載的遊戲,因為採用了另一種授權檢查方式導致他無法使用,所以開發者應該考慮加入其他手段,包括 AppGallery DRM Service SDK,去檢查用戶是否有購買過程式,以盡量避免因今次漏洞而構成損失。

0519-3a.jpg

資料來源:androidpolice
廣告