鸿蒙OS用户注意了！App侧载“漏洞”出现，华为似乎仍未解决？

“希望谷歌旗下App（GMS套件）能在华为AppGallery（应用市场）上架，就像谷歌已经选择在苹果App Store（应用市场）上架那样……”

2020年3月31日那场年度报告上，华为技术轮值董事长之一 徐直军 ，令外界感到惊诧的发出上述呼吁！

任正非称其聪明的像个“小狐狸”，显然并不是毫无缘由的简单调侃。

要知道，2019年5月16日之后，谷歌单方面中断GMS服务合作，本就是为了限制谷歌旗下App、基于GMS服务开发App等 在华为新款Android设备运行。

徐直军却公开“邀请”谷歌将其App上架到华为自建App分发平台？这就跟各路网友戏称的那样了： 简直是在呼吁谷歌自己“干翻”自己……

当然了，彼时的徐直军说出了“那番话”的初衷，更像是在表明合作共赢的立场而已！

外界很清楚，谷歌潜心培育了多年、用来控制Android平台话语权的GMS生态， 不可能参与到华为HMS生态的建设中……

综合华为技术终端BG（原消费者BG）负责任 余承东 披露的战略，华为搭建HMS服务辅以鸿蒙OS生态化，构建运营了AppGallery应用分发平台。

等同于谷歌Google Play平台、苹果App Store平台的重要性，这点已经人尽皆知了。

然而，鸿蒙OS内置HMS应用分发平台的 华为AppGallery，竟然被曝出了“漏洞”……

一位应用服务开发者分析AppGallery平台API函数时，发现了华为没有启用AppGallery底层“保护第三方App付费式逻辑”的相关策略！

App侧载“漏洞”出现，鸿蒙OS用户注意了！

据了解，该开发者发现这个“有问题”的API接口，用于数据请求后返回App下载的链接，侧重于免费App或付费App权限验证！

简单地说，就是检查一下 「当前用户是否购买了App服务」 或使用权限，如果是常见的免费App应用还没什么……

对于那些付费App来说，就显得不那么“友好”了，因为可以绕过付费API、直接下载！

一些需要用户付费才能下载的第三方App，遭遇此类 “越过平台验证权限的侧载 ”，显然会给第三方App服务开发者们造成不必要的损失。

进一步的App侧载“漏洞”验证中，开发者确定“并非某款App所引起”，而是所有“同类”的付费App都可以被绕过AppGallery平台API接口验证……

值得一提的是，通过App侧载“漏洞”免费下载的“付费App”，可以正常安装到内置华为HMS服务组件的设备， 免费正常使用这些 原本需要付费的App ，根本没有出现异常！

基于业内达成共识的惯例，发现了华为AppGallery平台API接口验证“漏洞”的开发者，在2022年2月份，将分析中获取的确信结果通知了华为技术团队。

也就是说，华为技术至少有5周时间进行修复。（披露称华为技术团队已经知晓了）

不过，华为似乎仍未解决？

大概过了非常充足的13周时间后，也就是在2022年5月18日，发现华为AppGallery平台API接口验证“漏洞”的开发者，在网络上公布了这项关于App侧载“漏洞”的发现！

据称，华为技术团队等相关方面，仍未公布该漏洞是否已修复的报告， 也没有明确给出“漏洞”修复计划的时间安排？

在华为技术给出明确的应对策略、正式披露修复该“漏洞”报告之前，华为AppGallery平台的第三方App服务开发者，可以尝试将开发好的App执行相应的DRM数字保护！

执行了DRM数字保护服务的第三方付费App，即使遭遇了App侧载“漏洞”、导致App安装包文件被“非法”获取了，拿去安装到别的鸿蒙OS设备也没有用……

当某些用户打开“未付费”就安装的付费App，就会面临验证是否正常购买了这款付费版App！

如果当前用户没有正常付费、并非通过华为AppGallery平台加载，将无法打开使用！

关于这一点，相信那些使用iPhone设备的用户、尝试将IPA包同步安装到设备时，已经发现过了“没有付费就无法安装使用付费版App”的事实。（助手类的就别嘚瑟啦~）

所以，在华为技术正式做出“漏洞修复计划”回应之前，第三方App开发者们可以尝试华为AppGallery DRM 数字保护服务。

这个“不用付费就能使用付费App”、涉及App侧载的“漏洞”出现，华为似乎仍未解决？ 鸿蒙OS用户注意了，不要故意动歪脑筋……

保护数字知识产权，你们同样人人有责~

7月26日，微软公司在周三宣布推出新的Windows漏洞奖励计划，奖金金额最低500美元，最高25万美元。

需要说明的是，微软已经推出了许多漏洞奖励计划，这也不是微软第一次针对Windows功能推出漏洞奖励计划。从2012年开始，微软就推出了许多针对Windows的奖励计划。

不过，微软此次推出的Windows奖励计划包含了Windows 10，甚至是测试项目Windows Insider预览版。而且，它还有重点针对的领域，包括服务器虚拟化解决方案Hyper-V、漏洞缓解绕过(Mitigation Bypass)、杀毒软件Windows Defender以及Edge浏览器。

微软规定，如果研究人员发现任何侵犯用户隐私和安全的严重或重要远程代码执行、特权提升或设计缺陷，微软都会给予奖励；奖金额度介于500美元至25万美元之间；如果研究人员发现的符合条件的漏洞已经被微软内部发现，那么第一个发现漏洞的研究人员将会获得最高奖励的10%。

研究人员要想获得最高25万美元的奖励，就必须找到Hyper-V的相关漏洞，但是可以从多个系统中寻找，包括Windows 10、Windows Server 2012、Windows Server 2012 R2、Windows Server内部预览版。漏洞缓解绕过的最高奖励为20万美元，但只能从Windows 10中找。

另外，Windows Defender漏洞的最高奖励为3万美元。Edge浏览器和Windows Insider预览版漏洞的最高奖励为1.5万美元。这三个项目都需要使用Windows Insider“慢速通道”(Slow Ring)。

越来越多的公司会推出漏洞奖励计划。为了避免遭遇下一个安全灾难，这些付出是值得的。在漏洞成为问题前，企业最好找到并修复它，尤其是涉及到安全时。如果出现严重安全问题，企业将付出惨重代价。和它相比，向发现漏洞的安全研究人员提供的奖金微不足道。

---