پس از تحریم ایالات متحده آمریکا، هواوی دسترسی به خدمات گوگل را از دست داد. در نتیجه این تحریمها، مجبور شد که منابع بیشتری را روی سرویس نرمافزاری خود، یعنی Huawei Mobile Services برای استفاده در گوشیهای هوشمند سرمایهگذاری کند.
بخشی از این سرمایهگذاریهای انجام شده به اپ گالری هواوی باز میگردد که بهنوعی جایگزین این شرکت برای فروشگاه گوگل پلی استور بهحساب میآید. در حال حاضر، تمام هدف یک فروشگاه تولید نرمافزار است و این موضوع میتواند شامل پرداخت پول برای یک سری از برنامهها و پرداختهای درون برنامهای باشد. حال بهنظر میرسد که یک نقض و آسیبپذیری این امکان را در اختیار کاربران قرار میداد تا برنامههای پولی را بهصورتی رایگان دانلود کنند.
یکی از توسعهدهندگان اندروید با نام دیلان روسل، در حال جستجو در API فروشگاه برنامهای بود که آسیبپذیری را پیدا کرد که باعث شد لینکهای دانلود فایل APK را برای برنامههای رایگان و پولی بهدست آورد. او توانست بدون هیچ زحمتی برنامهها مورد نظر را از طریق لینکهای دانلودی که به او نمایش داده شده بود، نصب و استفاده کندو
برای اطمینان از اینکه مشکل تایید مجوز تنها مربوط به یک برنامه نیست، او این روند را با چندین برنامه تکرار کرد و در همه این مراحل با نتایج یکسانی مواجه شد و تایید کرد که این نقص امنیتی واقعا در سمت هواوی است. علاوهبر اثبات این کشف باگ، یکی از بازیهایی که او مورد آزمایش قرار داده بود، دارای یک بررسی مجوز بود که با توجه به آن موفق شد تا از استفاده از آن جلوگیری کند.
این آسیبپذیری بهدلیل مختلفی در بسیاری از برنامهها رویت میشود. جدا از اینکه هواوی و توسعهدهندگانش احتمالا درآمد خود را از دست خواهند داشد، افراد سودجو میتوانند از این نقض برای دسترسیبه عناوین برتر برای اهداف موردنظر خود استفاده کنند. روسل در ابتدا و پس از یافتن این نقض امنیتی در ماه فوریه با هواوی تماس گرفته بود. او به آنها گفته بود که 5 هفته زمان دارند تا این موضوع گفته شده را برطرف کنند، اما پس از 13 هفته سکوت از طرف هواوی، سرانجام این محقق امنیتی یافتههای خودش را برای تمامی مردم منتشر کرد تا آنها هم بتوانند از آن استفاده کنند.
اگر توسعهدهندهای هستید که یک برنامه پولی را در اپ گالری هواوی دارید، قطعا باید به فکر اضافه کردن ابزار محافظتی اضافی به برنامه خود، مانند AppGallery DRM Service SDK، باشید. این ابزار بررسی میکند که آیا کاربر به محض بازکردن برنامه شما، آن را خریداری کرده است یا خیر، و اگر این کار را انجام نداده باشد، از او میخواهد که برنامه گفته شده را خریداری کند. همچنین این یک راه خوب برای اطمینان از عدم توزیع رایگان برنامهها پس از یک خرید برای دیگران است.