谷歌应用商店付费应用的开发商在全球范围内都依赖保护算法来防止盗版和重打包引起的非授权安装和经济损失。Trustlook（威阔）手机安全研究团队发现谷歌应用商店付费应用保护算法存在漏洞，致使网络爬虫可以自动且非常容易的收集付费应用，然后以较低价格分发到第三方平台，甚至免费安装至其他装有全新谷歌账户（无信用卡信息）的手机。

实时天气应用之分析

Trustlook（威阔）研究了流行应用“实时天气”的付费版本。此付费版拥有超十万之下载量，而免费版更有超五百万之下载量。其付费版的价格为99美分。

Trustlook（威阔）在手机1的谷歌账户中使用一张有效的信用卡来购买此应用。成功购买及安装之后，顾客在一定时间内可以选择卸载并退款。顾客还可以使用此应用一段时间后再回到谷歌应用商店“退款”。

Trustlook（威阔）所购买的实时天气这款应用在拥有有效信用卡的手机1上使用正常。之后，他们成功将此付费应用的APK文件导出，并通过谷歌官方提供的adb install命令安装到了无信用卡并且完全不同于手机1中的谷歌账户的全新手机2上。两个手机上的APK文件大小都与谷歌应用商店页面一致，并且可以不经过任何解密过程就解压缩。

应用不再被识别为付费应用

由此他们发现，当回到手机2中付费版实时天气的谷歌应用商店页面时，此应用已被标记为已安装。唯一的区别在于原来手机1上的“退款”已变成了手机2上的“卸载”。虽然用户不能退款，但是其下载量（100，000）仍然证明这是付费版的应用。

据推断，谷歌应是将此付费应用放入免费应用的代码逻辑中，而未能检测手机2中账户是否已付款。当其谷歌探测到此应用其实并非此用户购买的时候，会直接显示了“卸载”按钮而不是对这种异常行为发出警报。

他们又仔细检查了手机1和手机2中的实时天气应用，证明其功能完全一样。并且付费版的实时天气应用从手机1中取出后，可以用常用工具进行反编译。

综上所述，谷歌官方应用商店应该为付费软件开发商提供更加合适的保护算法来保护他们的应用，否者他们的产品可能会被各种网络爬虫以及遍布全球的第三方软件市场轻易获得并以低价出售或提供免费下载。更加有可能的是这些付费软件会和谷歌官方应用商店的免费应用一样遭受黑客重打包活动的威胁。

*作者：Trustlook（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）