Mida peate teadma
- Turvalisuse uurija John Wu leidis dokumentideta API-d, mis lasevad administraatoriõigustega rakendustel installida uued süsteemirakendused Mate 30-sse.
- Lube kasutab rakendus "LZPlay" Google'i raamistiku ja teenuste installimiseks, kuid Wu sõnul on need ka turvariskid.
- Huawei ütleb, et Mate 30 ei käivitu GMS-iga ja et tal pole LZPlay-ga mingit seost.
Varsti pärast selle värskenduse avaldamist eemaldati LZPlay veebisait ja rakendus ei tööta enam. LZPlay'st installitud Google'i rakendustega paariline 30 seadet ei edasta enam Google'i CTS-i (ühilduvuse testimise komplekt) DRM-i ja Google Pay toe jaoks.
Mate 30 Pro on esimene Huawei lipulaev, mis lansseeriti pärast Hiina ettevõtte lisamist USA valitsuse üksuste nimekirja, mis tähendab, et seda ei saa Google'i rakenduste ja teenustega tarnida. Varsti pärast käivitamist on rakendus „Google Service Assistant” (teise nimega LZPlay oma veebisaidi URL-ilt) sai tuntuks lihtsa viisina taastada Google'i teenused Mate 30-le. Kuidas see täpselt toimis, polnud teada enne, kui arendaja ja Androidi turvaekspert John Wu jäi oma sisemisse töösse kinni.
Verizon pakub Pixel 4a uutele piiramatutele liinidele vaid 10 dollarit kuus
Täna avaldatud kirjatükis Keskmine, Wu ütleb, et rakendus kasutab installimiseks dokumentideta Huawei MDM-i (mobiilseadmete haldamine) õigusi peamised Google'i komponendid ja rakendused süsteemirakendustena - ebatavaline olukord, mis mõjutab seadet turvalisus. Veelgi enam, Wu uurimus väidab, et nende võimsate dokumentideta õiguste kasutamiseks peaks LZPlay anonüümne arendaja olema saanud Huawei sertifikaadi. Avalduses aadressile Android Central, On Huawei eitanud mingit seost LZPlay-ga.
Tavaliselt ei saa te uusi süsteemirakendusi installida.
Peamine põhjus, miks te ei saa lihtsalt installida Google'i raamistikku, GMS Core'i ja muid Google'i aluseid teenused, nagu tavaline APK-fail, on sellepärast, et nad on süsteemirakendused ja kasutavad spetsiaalseid lubasid, mis tavalistele pole saadaval rakendused. Süsteemirakendustel saab teie telefoni üle olla palju parem kontroll kui Google Play poest alla laaditud rakendusel. Ja kuigi süsteemirakendused saab uuendada uute versioonidega - näiteks Play poest - peab telefoni tootja kõigepealt originaalid süsteemi jaotisse laadima. Seejärel tuleb rakenduste uuendatud versioonidele alla kirjutada sama turvavõtmega kui algsel versioonil.
Kasutajad ei saa / system partitsiooni tavaliselt muuta, kui telefon seda ei tee juurdunud. Sellisena ei saa Androidi kasutajad tavaliselt uusi süsteemirakendusi installida - see on turvalisuse huvides väga hea asi.
Kuna Huawei ei saa seaduslikult USA ettevõtetega äri teha, ei saa ta neid rakendusi tehases laadida. Kuid kasutajad ei saa ka ise Google'i teenuseid otse installida, kuna nad on süsteemirakendused. (Ja kuna Huawei lukustab oma alglaadurid, pole ka juurdumine välistatud.)
LZPlay looja (te) jaoks on lahendus kasutada Huawei mobiilseadme võimsat, kuid dokumentideta alamhulka Haldus-API-d. MDM-i API-d võimaldavad seadme üle tohutult kontrolli ja ettevõtted kasutavad neid sageli haldamiseks ettevõtte omanduses olevad telefonid.
LZPlay keskmes on kaks võimsat, dokumentideta õigust
John Wu avastatud kaks dokumentideta MDM-i õigust on:
- com.huawei.permission.sec. MDM_INSTALL_SYS_APP
- com.huawei.permission.sec. MDM_INSTALL_UNDETACHABLE_APP
Riskides ilmse märkimisega: esimene on luba süsteemirakenduste installimiseks ja teine on luba installida rakendus, mida ei saa hiljem desinstallida. Mõlemad on isegi MDM-i maailmas ebatavalised ja Wu sõnul pole kumbagi praegu Huawei ametlikus dokumentatsioonis.
Kuid oodake hetk - kas pole võimatu uusi süsteemirakendusi installida?
Wu uuring näitab, et sellised rakendused nagu LZPlay ei installi rakendusi otse / system partitsiooni, mis on kirjutuskaitstud, kuid sama kirjutatav salvestusruum nagu mis tahes muu rakendus. Tänu MDM-i loale "installida süsteemirakendus" märgistab Android need seejärel süsteemirakendusteks, andes neile õiged õigused töötamiseks. Ja see juhtub siis, kui LZPlay laadib Google'i põhikomponendid alla... kus iganes see neid tõmbab.
Selline dokumentideta luba on väga ebatavaline ja kui seda kuritarvitatakse, võib see turvalisust kahjustada. Kasutajad peavad seda siiski tegema valida anda rakenduse administraatorile õigused, enne kui neid võib mõjutada. Ja on ka muid turvameetmeid, mille juurde peagi jõuame, kusjuures Huawei tegutseb väravavahina kõigi oma erinevate MDM-i lubade korral. Kuid nagu Wu oma artiklis selgitab, salvestab süsteemirakenduste algsed versioonid samasse kirjutatavasse salvestusruumi kuna muud kasutajarakendused avavad võimaluse hõlpsamat manipuleerimist, kui mõni muu turvanõrkus on avastatud. (Ebatõenäoline, kuid kindlasti mitte võimatu.)
Wu kammis veel vihjete saamiseks läbi Hiina dokumentatsiooni Huawei MDM SDK jaoks. Ta ütleb, et MDM-i API-de kasutamiseks peavad arendajad sõlmima Huaweiga lepingud, põhjendama MDM-i õiguste kasutamist ja esitama APK-failid kinnitamiseks. Pärast heakskiitmist annab Wu, et Huawei annab töötamiseks vajaliku digitaalse sertifikaadi.
See, kes on LZPlay taga, näib meeleheitlikult anonüümseks jäämist
Ja see muudab olukorra LZPlayga ainult veelgi kummalisemaks. Dokumendita MDM-i lubade olemasolu, mis võimaldab uusi süsteemirakendusi installida, pole kindlasti normaalne, kuid samas on see ainus viis, kuidas kasutajad said Google'i teenuseid litsentsimata telefoni installida, ilma täielikult torpedeerida Androidi sisseehitatud turvalisust. Kuid idee, et LZPlay anonüümne arendaja läbib pika MDM API heakskiitmisprotsessi ja saab Huawei õnnistuse, on veelgi veider.
Wu süüdistab Huawei selles, et ta on LZPlay'st "hästi teadlik" ja lubas selle jätkuvat olemasolu:
Siinkohal on üsna ilmne, et Huawei on sellest "LZPlay" rakendusest hästi teadlik ja selgesõnaliselt lubab selle olemasolu. Selle rakenduse arendaja peab kuidagi olema nendest dokumentideta API-dest teadlik, allkirjastama juriidilised lepingud, läbima mitu ülevaatuse etappi ja laskma rakenduse lõpuks Huawei allkirjastada. Rakenduse ainus eesmärk on installida Google Services litsentsita seadmesse ja see kõlab minu jaoks väga visandlikult, kuid ma pole jurist, nii et mul pole selle seaduslikkusest absoluutselt aimugi.
Kuid Huawei on eitanud igasugust seotust rakenduse või saidiga. Avalduses aadressile Android Central, ütles Huawei pressiesindaja:
Huawei uusimat Mate 30 seeriat pole GMS-iga eelinstallitud ja Huawei pole www.lzplay.net-iga seotud olnud
Võimalik juriidiline visand, millele Wu viitab, on ehk põhjus, miks LZPlay päritolu on võimatu jälgida. Rakenduse kasutajaliides ei paku autori (te) kohta teavet. Domeeni WHOIS-teave viitab lihtsalt Alibaba Hiinas asuvale pilveteenuste divisjonile, kus hostitud serverite IP-vahemik kuulub samale ettevõttele. Veelgi enam, ühepoolsel veebisaidil endal ega selle lehe HTML-, CSS- või Javascripti lähtekoodil pole ühtegi vihjet. Varasemad viited sellele, mille suutsime veebis leida, olid kogukonna postitustes Huawei klubi juuli keskpaiga paiku, pakkudes endiselt teavet selle päritolu kohta.
Ja Wu sõnul on APK-fail ise sarnaselt läbipaistmatu:
QiHoo Jiagu (奇 虎 加固) hägustab / krüpteerib rakenduse "LZPay" (sic) ega ole inseneri jaoks tühine.
(Toim. Märkus: QiHoo Jiagu on Hiinas asuv ettevõte, mis on spetsialiseerunud mobiilirakenduste turvalisusele)
Keegi maksis selle rakenduse loomiseks raha, suutis kuidagi selle sertifitseerida, seejärel soovis ta oma professionaalse välimusega veebisaidi kujundada ja faile majutada ning ei soovi siiski krediiti. Tegelikult tundub, et nad on teinud endast parima, et jääda täiesti anonüümseks.
Wu originaaluuringud on lugemist väärt, kui kaalute LZPlay-meetodi kasutamist Google'i rakenduste installimiseks Huawei telefonile. (Või kui soovite lihtsalt hinnata tarkvaratehnika hullumeelset teadust, mis on vajalik kogu selle töö tegemiseks.) Aastatel rakenduse anonüümsus ja kasutatavate lubade võimsus, tasub kindlasti vaadata LZPlay-d kriitilise pilguga silma.
Need on parimad traadita kõrvaklapid, mida saate osta iga hinnaga!
Parimad traadita kõrvaklapid on mugavad, kõlavad suurepäraselt, ei maksa liiga palju ja mahuvad kergesti taskusse.
Kõik, mida peate teadma PS5 kohta: väljaandmise kuupäev, hind ja palju muud.
Sony on ametlikult kinnitanud, et töötab PlayStation 5-ga. Siin on kõik, mida me selle kohta siiani teame.
Nokia toob turule kaks uut eelarvelist Android One telefoni, mille hind on alla 200 dollari.
Nokia 2.4 ja Nokia 3.4 on HMD Globali eelarveliste nutitelefonide valiku viimased täiendused. Kuna mõlemad on Android One seadmed, saavad nad kaks peamist OS-i värskendust ja regulaarset turvavärskendust kuni kolmeks aastaks.
Kinnitage oma kodu nende SmartThingsi uksekellade ja lukkude abil.
Üks parimatest asjadest SmartThingsis on see, et saate oma süsteemis kasutada hulgaliselt muid kolmanda osapoole seadmeid, kaasa arvatud uksekellad ja lukud. Kuna neil kõigil on sisuliselt sama SmartThingsi tugi, oleme keskendunud sellele, millistel seadmetel on parimad tehnilised andmed ja nipid, et õigustada nende lisamist teie SmartThingsi arsenali.