海外版华为应用商店出现漏洞 任何人都可以免费下载任何付费应用或游戏
据外媒报道,安全研究人员日期公开海外版华为应用商店(AppGallery)存在的漏洞,该漏洞主要影响开发者。
通过这个漏洞任何人都可以绕过华为的账号系统和支付系统,直接下载原本需要付费购买的应用程序或游戏。
研究人员已经将漏洞通报给华为不过目前尚未得到修复,暂时也不知道华为准备什么时候才会修复这个漏洞。
研究人员发现华为应用商店的某个API存在漏洞 , 使用这个API可以返回任意应用程序或游戏的APK下载链接。
也就是说只需要复制付费应用程序或游戏的地址使用这个 API 下载即可 , 下载后可以直接安装没有任何阻碍。
这个问题主要影响开发者尤其是那些提供付费应用程序或游戏的开发者,因为很容易被提取安装包进行传播。
需要强调的是华为其实也提供DRM SDK 保护机制,但前提是开发者已经使用这个SDK否则安装包能直接用。
要是使用DRM SDK 后即便拿到安装包也没法正常用,研究人员测试时发现有游戏使用这个SDK导致被阻止。
当使用保护机制后安装后会提示验证账户并购买,所以这可以用来阻止其他用户一次购买后再分发安装包等。
研究人员发现漏洞后已经及时通报给华为并预留5周时间进行修复,但13周后华为方面依然没有回应该漏洞。
所以研究人员只能直接公开这个漏洞,希望华为看到后能及时修复漏洞或回复研究人员提交的漏洞通报邮件。
至于用户就不要想着利用漏洞了,估计很快华为就会修复漏洞,另外其他开发者估计也会及时使用保护机制。