计费V3 :安全漏洞？

Question

基于AIDL界面(应用内计费V3)，我们可以轻松地通过以下方式获得用户的过去购买：

//interface method
Bundle getPurchases(int apiVersion, String packageName, String type, String continuationToken);

// in activity   
Bundle ownedItems = mService.getPurchases(3, getPackageName(), "inapp", null);

我在想，如果我们用其他应用程序包名代替getPackageName()，我们就可以获得计费信息。

例：

Bundle ownedItems = mService.getPurchases(3, "com.king.candycrushsaga", "inapp", null);

感谢您的阅读。

Answer 1

要建立Google服务连接，您的apk必须与通过google dev控制台上传的密钥相同。我想，在这一点上，它显然知道您应该访问哪些数据。对于使用错误包名的所有服务调用，您可能都会得到BILLING_RESPONSE_RESULT_DEVELOPER_ERROR。

我是在这里推测，所以请随时测试和报告，如果你能够获得其他应用程序的数据！