通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

  上校

注册:2016-9-11293
发表于 2022-5-19 09:08:55 |显示全部楼层

IT之家


自从美国禁令之后,华为新机便失去了对谷歌 GMS 服务的提供。因此,华为不得不投入更多资源开发自己的软件商店和配套服务 —— 华为移动服务 (HMS) 以便在其自家手机上使用,其中就包括华为 AppGallery。


当然,既然是对标 Play 商店,那么 AppGallery 应用商店的意义不仅仅在于推广软件,还包括为付费游戏创收等。但现在有开发者发现了一个华为 AppGallery 漏洞,用户可以藉此免费下载付费 App。


Android 开发者 @Dylan Roussel 在探索 AppGallery 商店 API 时发现了一个漏洞,华为通过这一接口返回(与数据请求对应)免费和付费应用程序的 APK 下载链接,而华为 AppGallery 的底层 API 没有为付费应用程序提供任何保护。


457510E8889CF309147BCA9C6575E93BB7B6EAA7_size313_w912_h775.png


他尝试了一下,最终发现用户无需为某个特定应用付费,甚至无需登录帐户就可以获得付费应用的有效下载链接。他表示,这个漏洞可以帮助他人轻松下载盗版 App,安装和使用时也没遇到没有任何麻烦。


为了确保这不是一个 App 的许可证验证问题,他还对多个应用程序重复了这一过程 —— 结果表明其他 App 都是一样的反应,证实这一漏洞确实在于华为方面。


他最初于今年2月份发现了这一漏洞,随后联系华为方面进行反馈。按照业界规矩,他给了华为5周的时间来修复这一漏洞,华为也已经意识到该漏洞并承认了这一点。在 13周之后,他决定公开这一发现,不过华为仍未公布该漏洞是否已经修复的报告或给出计划修复的时间安排。


举报本楼

军衔等级:

  大校

注册:2021-2-81511
发表于 2022-5-19 13:02:15 |显示全部楼层
  会不会 付费应用是 APP内付费  很多应用都是可以下载 只是APP内付费的

举报本楼

您需要登录后才可以回帖 登录 | 注册 |

Archiver|手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-3-29 19:35 , Processed in 0.091298 second(s), 18 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部