Недавно обнаруженная уязвимость в магазине Huawei AppGallery позволяет бесплатно скачивать платные Android-приложения, но исправление уже готовится к выпуску.
Учитывая действующие санкции против Huawei, которые не позволяют производителю телефонов использовать сервисы Google (среди прочего), собственный набор приложений и сервисов компании стал критически важным. К ним относится и магазин AppGallery, который позволяет распространять Android-приложения без Google Play Store. В AppGallery предлагаются как бесплатные приложения, так и премиум-приложения, за которые необходимо платить.
В новом эксплойте, обнаруженном Android-разработчиком (и автором 9to5Google) Диланом Русселем, базовый API магазина Huawei AppGallery не обеспечивает никакой защиты для платных приложений. Сообщается, что можно получить действительную ссылку на скачивание APK-файла для премиум-приложений, не оплачивая их и даже не входя в учетную запись. По сути, этот эксплойт в Huawei AppGallery может использоваться для пиратства приложений.
Huawei была уведомлена об уязвимости и признала ее наличие, однако компания пока не сообщила о каких-либо планах или сроках ее устранения.
Обновление от 19.05: В обновлении к описанию уязвимости Huawei сообщила Русселю, что исправление этой проблемы должно стать доступным для всех к 25 мая. Пока неясно, потребуется ли для этого обновление приложения AppGallery на телефонах Huawei или какие-либо действия со стороны разработчиков.
Тем временем, если вы разработчик с платным приложением в Huawei AppGallery, лучшим решением будет обеспечить дополнительную защиту вашего приложения с помощью DRM, например, через AppGallery DRM Service. Такая защита в любом случае является хорошей практикой, так как платное приложение без DRM-защиты может свободно распространяться другими пользователями после всего одной покупки.