Mitä sinun tarvitsee tietää
- Turvallisuustutkija John Wu on löytänyt dokumentoimattomat sovellusliittymät, jotka antavat järjestelmänvalvojan oikeuksilla varustettujen sovellusten asentaa uudet järjestelmäsovellukset Mate 30: een.
- LZPlay-sovellus käyttää oikeuksia Google-kehyksen ja palveluiden asentamiseen, mutta Wu sanoo, että ne ovat myös turvallisuusriski.
- Huawei sanoo, että Mate 30 ei toimita GMS: n mukana, eikä sillä ole "mitään yhteyttä" LZPlayn kanssa.
Pian tämän päivityksen julkaisemisen jälkeen LZPlay-verkkosivusto poistettiin eikä sovellus enää toimi. Toiset 30 laitetta, joihin on asennettu LZPlay: ltä asennetut Google-sovellukset, eivät enää läpäise Googlen CTS: ää (yhteensopivuuden testaussarja) esimerkiksi DRM- ja Google Pay -tukien suhteen.
Mate 30 Pro on ensimmäinen Huawei-lippulaiva, joka lanseerataan sen jälkeen, kun kiinalainen yritys lisättiin Yhdysvaltain hallituksen entiteettiluetteloon, mikä tarkoittaa, että se ei pysty toimittamaan Googlen sovelluksia ja palveluja. Pian julkaisun jälkeen "Google Service Assistant" -sovellus (alias LZPlay verkkosivuston URL-osoitteesta)
tuli tunnetuksi yksinkertaisena tapana palauttaa Google-palvelut Mate 30: een. Silti miten se toimi, tiedettiin vasta, kun kehittäjä ja Android-tietoturva-asiantuntija John Wu juuttuivat sisäiseen toimintaansa.Verizon tarjoaa Pixel 4a: n vain 10 dollaria kuukaudessa uusille rajoittamattomille linjoille
Teoksessa, joka julkaistiin tänään Keskitaso, Wu sanoo, että sovellus käyttää dokumentoimattomia Huawei MDM (mobile device management) -käyttöoikeuksia asennukseen Googlen keskeiset komponentit ja sovellukset järjestelmäsovelluksina - epätavallinen tilanne, jolla on vaikutuksia laitteeseen turvallisuus. Lisäksi Wun tutkimus väittää, että näiden tehokkaiden, dokumentoimattomien oikeuksien käyttämiseksi LZPlayn tuntemattoman kehittäjän olisi pitänyt saada sertifikaatti Huaweiilta. Lausunnossa Android Central, Huawei on kiistänyt osallisuutensa LZPlayn kanssa.
Normaalisti et voi asentaa uusia järjestelmäsovelluksia.
Tärkein syy siihen, ettet voi yksinkertaisesti asentaa Google Frameworkia, GMS Core -palvelua ja muita Googlen taustoja palvelut, kuten tavallinen APK-tiedosto, johtuu siitä, että ne ovat järjestelmäsovelluksia ja käyttävät erityisiä käyttöoikeuksia, joita ei ole tavallisille käyttäjille sovelluksia. Järjestelmäsovellukset voivat hallita puhelinta enemmän kuin Google Play Kaupasta ladattavat sovellukset. Ja vaikka järjestelmäsovellukset voi päivitetään uusilla versioilla - esimerkiksi Play-kaupasta - puhelimen valmistajan on ensin ladattava alkuperäiset / system-osioon. Päivitetyt sovellusten versiot on sitten allekirjoitettava samalla suojausavaimella kuin alkuperäinen versio.
Käyttäjät eivät yleensä voi muuttaa / system-osiota, ellei puhelin ole juurtunut. Sellaisena Android-käyttäjät eivät yleensä pysty asentamaan uusia järjestelmäsovelluksia - mikä on turvallisuussyistä erittäin hyvä asia.
Koska Huawei ei voi laillisesti harjoittaa liiketoimintaa yhdysvaltalaisten yritysten kanssa, se ei voi ladata näitä sovelluksia tehtaalla. Mutta käyttäjät eivät voi myöskään asentaa suoraan Google-palveluja itse, koska he ovat järjestelmäsovelluksia. (Ja koska Huawei lukitsee käynnistyslataimensa, myös juurtuminen ei tule kysymykseen.)
LZPlayn luojalle (ratkaisijoille) on ratkaisu käyttää tehokkaita, mutta dokumentoimattomia osia Huawei-mobiililaitteesta Hallinnan sovellusliittymät. MDM-sovellusliittymät antavat valtavan määrän hallintaa laitteelle, ja yritykset käyttävät niitä usein hallinnassa yrityksen omistamat puhelimet.
LZPlayn ytimessä on kaksi tehokasta, dokumentoimattomaa lupaa
John Wu löysi kaksi dokumentoimattomaa MDM-lupaa:
- com.huawei.permission.sec. MDM_INSTALL_SYS_APP
- com.huawei.permission.sec. MDM_INSTALL_UNDETACHABLE_APP
Vaarana todeta ilmeinen: Ensimmäinen on lupa asentaa järjestelmäsovelluksia, ja jälkimmäinen on lupa asentaa sovellus, jota ei voida myöhemmin poistaa. Molemmat ovat epätavallisia jopa MDM-maailmassa, ja Wu: n mukaan kumpikaan niistä ei tällä hetkellä ole Huawei-virallisissa asiakirjoissa.
Mutta odota hetki - eikö ole mahdotonta asentaa uusia järjestelmäsovelluksia?
Wu: n tutkimus osoittaa, että LZPlayn kaltaiset sovellukset eivät asenna sovelluksia suoraan / system-osioon, joka on vain luku -tilassa, mutta samaa kirjoitettavaa tallennustilaa kuin mikään muu sovellus. "Asenna järjestelmäsovellus"-MDM-luvan ansiosta Android "merkitsee" ne sitten järjestelmäsovelluksiksi ja antaa heille oikeat käyttöoikeudet. Ja näin tapahtuu, kun LZPlay lataa Googlen ydinkomponentit... mistä se vain kaataa.
Tällainen dokumentoimaton lupa on hyvin epätavallinen, ja jos sitä käytetään väärin, se saattaa olla haitaksi turvallisuudelle. Käyttäjien on kuitenkin pakko valita antaa sovelluksen järjestelmänvalvojalle oikeudet ennen kuin ne voivat vaikuttaa niihin. Ja on olemassa muita turvatoimia, joihin pääsemme pian, ja Huawei toimii portinvartijana kaikilla MDM-oikeuksillaan. Silti, kuten Wu selittää artikkelissaan, järjestelmäsovellusten alkuperäisten versioiden tallentaminen samaan kirjoitettavaan muistiin kuten muut käyttäjän sovellukset avaavat mahdollisuuden manipuloida helpommin, jos jokin muu tietoturva-aukko on löydetty. (Epätodennäköistä, mutta varmasti ei mahdotonta.)
Wu kävi läpi Huawein MDM SDK: n kiinalaiset asiakirjat saadakseen lisää vihjeitä. Hän sanoo, että MDM-sovellusliittymien käyttämiseksi kehittäjien on allekirjoitettava sopimukset Huawei kanssa, perusteltava MDM-käyttöoikeuksiensa käyttö ja toimitettava APK-tiedostot hyväksyttäväksi. Hyväksynnän jälkeen Wu sanoo, että Huawei tarjoaa digitaalisen varmenteen, joka tarvitaan käyttöoikeuksien toimimiseen.
Kuka on LZPlayn takana, näyttää epätoivoiselta pysyä nimettömänä
Ja tämä vain tekee tilanteesta LZPlayn vielä erikoisemmaksi. Dokumentoimattomien MDM-oikeuksien käyttäminen uusien järjestelmäsovellusten asentamiseen ei todellakaan ole normaalia, mutta samalla se on ainoa tapa, jolla käyttäjät voivat asentaa Google-palveluja luvattomaan puhelimeen, ilman täysin torpedoimaan Androidin sisäänrakennettua tietoturvaa. Ajatus siitä, että LZPlayn tuntematon kehittäjä käy läpi pitkän MDM-sovellusliittymän hyväksymisprosessin ja saa Huawein siunauksen, on vielä outo.
Wu syyttää Huaweiä siitä, että hän on "hyvin tietoinen" LZPlaysta ja sallinut sen jatkuvan olemassaolon:
Tässä vaiheessa on melko ilmeistä, että Huawei on hyvin tietoinen tästä "LZPlay" -sovelluksesta ja nimenomaisesti sallii sen olemassaolon. Tämän sovelluksen kehittäjän on jotenkin oltava tietoinen näistä dokumentoimattomista sovellusliittymistä, allekirjoitettava lailliset sopimukset, käydä läpi useita vaiheita ja lopulta Huawei on allekirjoittanut sovelluksen. Sovelluksen ainoa tarkoitus on asentaa Google-palvelut ei-lisensoidulle laitteelle, ja se kuulostaa minulle hyvin hämmentävältä, mutta en ole asianajaja, joten minulla ei ole aavistustakaan sen laillisuudesta.
Huawei on kuitenkin kiistänyt osallistumisensa sovellukseen tai sivustoon. Lausunnossa Android Central, Huawei-tiedottaja sanoi:
Huawei: n uusinta Mate 30 -sarjaa ei ole esiasennettu GMS: n kanssa, eikä Huawei ole ollut yhteydessä www.lzplay.net-palveluun
Mahdollinen oikeudellinen luonnos, johon Wu viittaa, on ehkä miksi on mahdotonta jäljittää LZPlayn alkuperää. Sovelluksen käyttöliittymä ei tarjoa tietoja tekijöistä. Verkkotunnuksen WHOIS-tiedot viittaavat vain Alibaban kiinalaiseen pilvipalveluosastoon, jonka isännöimien palvelinten IP-alue on saman yrityksen omistuksessa. Itse yhden sivun verkkosivustolta eikä kyseisen sivun HTML-, CSS- tai Javascript-lähdekoodista ei löydy vihjeitä. Aikaisimmat viittaukset siihen, jonka löysimme verkosta, olivat yhteisön viesteissä Huawei Club foorumilla heinäkuun puolivälissä, eikä sen alkuperästä ole vielä tietoja.
Ja Wu sanoo, että itse APK-tiedosto on samalla tavalla läpinäkymätön:
QiHoo Jiagu (奇 虎 加固) on hämmentänyt / salannut "LZPay" (sic) -sovelluksen.
(Toimitus: QiHoo Jiagu on Kiinassa toimiva yritys, joka on erikoistunut mobiilisovellusten turvallisuuteen)
Joku maksoi rahaa tämän sovelluksen luomisesta, pystyi jotenkin saamaan sen sertifioiduksi, ja sitten hän halusi suunnitella ammattimaisen verkkosivustonsa ja isännöidä tiedostojaan, mutta ei kuitenkaan halua luottoa. Itse asiassa näyttää siltä, että he ovat pyrkineet pysymään täysin tuntemattomina.
Wu: n alkuperäinen tutkimus on lukemisen arvoinen, jos harkitset LZPlay-menetelmän käyttämistä Google-sovellusten asentamiseen Huawei-puhelimeen. (Tai jos haluat vain arvostaa ohjelmistotekniikan hullua tiedettä, jota tarvitaan kaiken tämän tekemiseen.) Välillä sovelluksen nimettömyys ja sen käyttämien käyttöoikeuksien teho, on ehdottomasti syytä tarkastella LZPlay-ohjelmaa kriittisellä silmä.
Nämä ovat parhaat langattomat nappikuulokkeet, joita voit ostaa joka hintaan!
Parhaat langattomat nappikuulokkeet ovat mukavia, kuulostavat hyviltä, eivät maksa liikaa ja sopivat helposti taskuun.
Kaikki mitä sinun tarvitsee tietää PS5: stä: Julkaisupäivä, hinta ja paljon muuta.
Sony on virallisesti vahvistanut työskentelevänsä PlayStation 5: llä. Tässä on kaikki mitä tiedämme siitä toistaiseksi.
Nokia tuo markkinoille kaksi uutta edullista Android One -puhelinta, joiden hinta on alle 200 dollaria.
Nokia 2.4 ja Nokia 3.4 ovat viimeisimmät lisäykset HMD Globalin budjetin älypuhelinten kokoonpanoon. Koska ne ovat molemmat Android One -laitteita, heille taataan kaksi merkittävää käyttöjärjestelmän päivitystä ja säännölliset tietoturvapäivitykset jopa kolmen vuoden ajan.
Suojaa kotisi näillä SmartThings-ovikelloilla ja lukoilla.
Yksi SmartThingsin parhaista asioista on, että voit käyttää järjestelmässäsi joukkoa muita kolmannen osapuolen laitteita, mukaan lukien ovikellot ja lukot. Koska niillä kaikilla on olennaisilta osin sama SmartThings-tuki, olemme keskittyneet siihen, millä laitteilla on parhaat tekniset tiedot ja perusteet niiden lisäämiseksi SmartThings-arsenaaliin.