Какво трябва да знаете
- Изследователят по сигурността Джон Ву откри API без документи, които позволяват на приложения с администраторски права да инсталират нови системни приложения на Mate 30.
- Разрешенията се използват от приложението "LZPlay" за инсталиране на рамката и услугите на Google, но Wu казва, че те също представляват риск за сигурността.
- Huawei казва, че Mate 30 не се доставя с GMS и че няма "никакво участие" с LZPlay.
Малко след публикуването на тази актуализация уебсайтът LZPlay беше свален и приложението вече не работи. Устройствата Mate 30 с приложения на Google, инсталирани от LZPlay, вече не преминават CTS на Google (пакет за тестване на съвместимостта) за неща като DRM и поддръжка на Google Pay.
Mate 30 Pro е първият флагман на Huawei, пуснат на пазара, откакто китайската компания беше добавена към списъка на обектите на правителството на САЩ, което означава, че не може да се доставя с приложения и услуги на Google. Малко след стартирането, приложението "Google Service Assistant" (известен още като LZPlay, от URL адреса на уебсайта му)
стана добре известен като лесен начин за възстановяване на услугите на Google до Mate 30. И все пак как точно е работило, не е било известно, докато разработчикът и експертът по сигурността на Android Джон Ву не е заседнал във вътрешната му работа.Verizon предлага Pixel 4a само за $ 10 / месец на нови неограничени линии
В парче, публикувано днес на Среден, Wu казва, че приложението използва недокументирани разрешения на Huawei MDM (управление на мобилни устройства), за да инсталира ключовите компоненти и приложения на Google като системни приложения - необичайна ситуация с последици за устройството сигурност. Нещо повече, изследването на Wu твърди, че за да използва тези мощни недокументирани разрешения, анонимният разработчик на LZPlay ще трябва да е получил сертификат от Huawei. В изявление до Android Central, Huawei отрече каквото и да било участие в LZPlay.
Обикновено не можете да инсталирате нови системни приложения.
Основната причина да не можете просто да инсталирате Google Framework, GMS Core и другите основи на Google услуги като нормален APK файл, защото са системни приложения и използват специални разрешения, които не са достъпни за редовните приложения. Системните приложения могат да имат по-голям контрол върху телефона ви, отколкото приложение, което бихте изтеглили от Google Play Store. И въпреки че системните приложения мога да бъдат актуализирани с нови версии - например от Play Store - първоначално оригиналите трябва да бъдат заредени в / системния дял от производителя на телефона. След това актуализираните версии на приложенията трябва да бъдат подписани със същия ключ за сигурност като оригиналната версия.
Разделът / system обикновено не може да бъде променян от потребителите, освен ако телефонът не е такъв вкоренени. Като такива, потребителите на Android обикновено не могат да инсталират нови системни приложения - което от съображения за сигурност е много добро нещо.
Тъй като Huawei не може законно да прави бизнес с американски компании, не може да зарежда тези приложения в завода. И все пак потребителите също не могат да инсталират директно услугите на Google сами, защото са системни приложения. (И тъй като Huawei заключва своите буутлоудъри, вкореняването също не може да става.)
Решението за създателя (ите) на LZPlay е да се използва мощно, но недокументирано подмножество на мобилното устройство на Huawei API за управление. API за MDM дават огромен контрол върху устройството и често се използват от бизнеса за управление собственост на фирмени телефони.
Две мощни разрешения без документи са в основата на LZPlay
Двете недокументирани MDM разрешения, открити от Джон Ву, са:
- com.huawei.permission.sec. MDM_INSTALL_SYS_APP
- com.huawei.permission.sec. MDM_INSTALL_UNDETACHABLE_APP
С риск да се посочи очевидното: първото е разрешение за инсталиране на системни приложения, а второто е разрешение за инсталиране на приложение, което впоследствие не може да бъде деинсталирано. И двете неща са необичайни дори в света на MDM и според Wu нито един от дните не присъства в официалната документация на Huawei.
Но изчакайте малко - не е ли невъзможно да инсталирате нови системни приложения?
Изследванията на Wu показват, че приложения като LZPlay не инсталират приложения директно в / системния дял, който е само за четене, но същата памет за записване като всяко друго приложение. Благодарение на разрешението за MDM за „инсталиране на системно приложение“, Android след това ги „маркира“ като системни приложения, като им дава правилните разрешения за работа. И това се случва, когато LZPlay изтегля основните компоненти на Google от... където и да ги издърпва.
Такова недокументирано разрешение е много необичайно и, ако бъде злоупотребено, потенциално лошо за сигурността. Потребителите обаче трябва избирам да даде разрешения на администратор на приложение, преди те да бъдат засегнати. Има и други мерки за сигурност, до които ще стигнем скоро, като Huawei действа като вратар за всичките си различни разрешения за MDM. И все пак, както Ву обяснява в статията си, съхраняването на оригиналните версии на системните приложения в едно и също записваемо хранилище тъй като други потребителски приложения отварят възможността за по-лесно подправяне, ако е налице друга уязвимост в сигурността открити. (Малко вероятно, но със сигурност не е невъзможно.)
Wu прегледа китайската документация за MDM SDK на Huawei за повече улики. Той казва, че за да използват някой от MDM API, разработчиците трябва да подпишат споразумения с Huawei, да обосноват използването на разрешенията на MDM и да представят APK файлове за одобрение. След като бъде одобрен, казва Ву, Huawei предоставя цифров сертификат, необходим за разрешенията да работят.
Който стои зад LZPlay, изглежда отчаян да остане анонимен
И това само прави ситуацията с LZPlay още по-странна. Наличието на документи без разрешение за MDM, които могат да инсталират нови системни приложения, със сигурност не е нормално, но в същото време това е единственият начин потребителите да инсталират услугите на Google на нелицензиран телефон, без напълно торпедирайки вградената сигурност на Android. И все пак идеята анонимният разработчик на LZPlay да премине през продължителния процес на одобрение на MDM API и да получи благословията на Huawei е още по-странна.
Ву обвинява Huawei, че е "добре запознат" с LZPlay и че е позволил неговото продължаване да съществува:
Към този момент е доста очевидно, че Huawei е добре запознат с това приложение "LZPlay" и изрично позволява съществуването му. Разработчикът на това приложение трябва по някакъв начин да е наясно с тези API без документи, да подпише правните споразумения, да премине през няколко етапа на прегледи и в крайна сметка приложението да бъде подписано от Huawei. Единствената цел на приложението е да инсталира Google Services на нелицензирано устройство и ми звучи много схематично, но аз не съм адвокат, така че нямам абсолютно никаква представа за законността му.
Huawei обаче отрече каквото и да било участие в приложението или сайта. В изявление до Android Central, говорител на Huawei каза:
Най-новата серия Mate 30 на Huawei не е предварително инсталирана с GMS и Huawei не е участвала в www.lzplay.net
Потенциалната правна нестабилност, на която се позовава Ву, е може би защо е невъзможно да се проследи произхода на LZPlay. Потребителският интерфейс на приложението не предлага информация за автора (ите). Информацията WHOIS за домейна просто се отнася до базираното в Китай подразделение за облачни услуги на Alibaba, като IP диапазонът на сървърите, на които се хоства, е собственост на същата компания. Нещо повече, няма улики, които да бъдат намерени на самия уебсайт на една страница, нито в HTML, CSS или Javascript изходния код на тази страница. Най-ранните препратки към него, които успяхме да намерим онлайн, бяха в публикации в общността в Клуб на Huawei форум около средата на юли, все още не предлага информация за произхода му.
И Ву казва, че самият APK файл е също толкова непрозрачен:
Приложението "LZPay" (sic) е затъмнено / криптирано от QiHoo Jiagu (奇 虎 加固) и не е тривиално за обратно проектиране.
(Бел. Ред. QiHoo Jiagu е китайска фирма, специализирана в сигурността на мобилните приложения)
Някой е платил пари за създаването на това приложение, успял е по някакъв начин да го сертифицира, след което се е разделил да проектира своя професионално изглеждащ уебсайт и да хоства файловете му, но въпреки това не иска кредит. Всъщност изглежда, че са се постарали да останат напълно анонимни.
Оригиналното изследване на Ву си заслужава да се прочете, ако обмисляте да използвате метода LZPlay за инсталиране на приложения на Google на телефон Huawei. (Или ако просто искате да оцените безумната наука на софтуерното инженерство, която е необходима, за да работи всичко това.) Между анонимността на приложението и силата на разрешенията, които използва, определено си струва да разгледате LZPlay с критичен око.
Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!
Най-добрите безжични слушалки са удобни, звучат страхотно, не струват прекалено много и лесно се побират в джоба.
Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други.
Sony официално потвърди, че работи по PlayStation 5. Ето всичко, което знаем за него до момента.
Nokia пуска два нови бюджетни телефона Android One под $ 200.
Nokia 2.4 и Nokia 3.4 са най-новите допълнения към бюджетната гама смартфони на HMD Global. Тъй като и двете са устройства с Android One, гарантирано ще получат две основни актуализации на ОС и редовни актуализации на защитата до три години.
Защитете дома си с тези звънци и брави SmartThings.
Едно от най-добрите неща за SmartThings е, че можете да използвате множество други устройства на трети страни на вашата система, включени звънци и брави. Тъй като всички те по същество споделят една и съща поддръжка на SmartThings, ние се фокусирахме върху това кои устройства имат най-добрите спецификации и трикове, за да оправдаят добавянето им към вашия арсенал SmartThings.