हुआवेई मेट 30 में शक्तिशाली छिपे हुए एपीआई गूगल ऐप इंस्टॉलेशन की अनुमति देते हैं

इस अद्यतन के प्रकाशित होने के कुछ समय बाद, LZPlay वेबसाइट को नीचे ले जाया गया, और ऐप अब काम नहीं करता है। LZPlay से इंस्टॉल किए गए Google ऐप्स वाले 30 डिवाइस अब DRM और Google पे समर्थन जैसी चीज़ों के लिए Google के CTS (संगतता परीक्षण सूट) को पास नहीं करते हैं।

मेट 30 प्रो लॉन्च करने वाला पहला Huawei फ्लैगशिप है क्योंकि चीनी कंपनी को अमेरिकी सरकार की एंटिटी लिस्ट में जोड़ा गया था, जिसका अर्थ है कि यह Google ऐप्स और सेवाओं के साथ जहाज करने में असमर्थ है। लॉन्च के कुछ समय बाद, "Google सेवा सहायक" ऐप (उर्फ LZPlay, अपनी वेबसाइट URL से) अच्छी तरह से जाना जाता है Mate 30 में Google सेवाओं को पुनर्स्थापित करने का एक सरल तरीका है। फिर भी वास्तव में यह कैसे काम किया जब तक कि डेवलपर और एंड्रॉइड सुरक्षा विशेषज्ञ जॉन वू अपने आंतरिक कामकाज में फंस नहीं गए।

आज प्रकाशित एक टुकड़े में मध्यम, वू का कहना है कि ऐप इंस्टॉल करने के लिए अनिर्धारित हुआवेई एमडीएम (मोबाइल डिवाइस प्रबंधन) अनुमतियों का उपयोग करता है कुंजी Google घटक और ऐप्स सिस्टम ऐप्स के रूप में - डिवाइस के लिए निहितार्थ के साथ एक असामान्य स्थिति सुरक्षा। क्या अधिक है, वू के शोध का दावा है कि इन शक्तिशाली अनिर्दिष्ट अनुमतियों का उपयोग करने के लिए, LZPlay के अनाम डेवलपर को हुआवेई से प्रमाणन प्राप्त करने की आवश्यकता होगी। को एक बयान में एंड्रॉइड सेंट्रल, हुआवेई ने LZPlay के साथ किसी भी भागीदारी से इनकार किया है।

आम तौर पर, आप नए सिस्टम ऐप इंस्टॉल नहीं कर सकते।

मुख्य कारण आप केवल Google फ्रेमवर्क, GMS कोर और Google के अन्य कमियों को स्थापित नहीं कर सकते हैं सामान्य एपीके फ़ाइल जैसी सेवाएं इसलिए हैं क्योंकि वे सिस्टम ऐप हैं, और नियमित रूप से उपलब्ध विशेष अनुमतियों का उपयोग नहीं करते हैं क्षुधा। Google Play Store से आपके द्वारा डाउनलोड किए गए ऐप की तुलना में सिस्टम ऐप में आपके फोन पर अधिक नियंत्रण हो सकता है। और हालांकि सिस्टम एप्स कर सकते हैं नए संस्करणों के साथ अपडेट रहें - उदाहरण के लिए, प्ले स्टोर से - मूल को पहले फोन के निर्माता द्वारा / सिस्टम विभाजन पर लोड किया जाना चाहिए। एप्लिकेशन के अपडेट किए गए संस्करणों को मूल संस्करण के समान सुरक्षा कुंजी के साथ साइन इन किया जाना चाहिए।

जब तक फोन नहीं होगा / सिस्टम विभाजन को आम तौर पर उपयोगकर्ताओं द्वारा नहीं बदला जा सकता है जड़ें. जैसे, एंड्रॉइड उपयोगकर्ता सामान्य रूप से नए सिस्टम ऐप इंस्टॉल नहीं कर सकते हैं - जो, सुरक्षा कारणों से, एक बहुत अच्छी बात है।

चूंकि Huawei कानूनी रूप से अमेरिकी कंपनियों के साथ व्यापार नहीं कर सकता है, इसलिए यह इन ऐप्स को कारखाने में लोड नहीं कर सकता है। फिर भी उपयोगकर्ता सीधे Google सेवाओं को स्वयं द्वारा स्थापित नहीं कर सकते, क्योंकि वे सिस्टम ऐप हैं। (और जब से Huawei अपने बूटलोडर्स को लॉक करता है, रूटिंग भी सवाल से बाहर है।)

LZPlay के निर्माता (एस) के लिए समाधान, हुआवेई के मोबाइल डिवाइस के एक शक्तिशाली लेकिन अनजाने में सबसेट का उपयोग करना है प्रबंधन एपीआई। एमडीएम एपीआई डिवाइस पर भारी मात्रा में नियंत्रण देता है, और अक्सर इसका प्रबंधन करने के लिए व्यवसायों द्वारा उपयोग किया जाता है कंपनी के स्वामित्व वाले फोन।

दो शक्तिशाली, अनिर्दिष्ट अनुमतियाँ LZPlay के दिल में स्थित हैं

जॉन वू द्वारा खोजे गए दो अनिर्दिष्ट एमडीएम अनुमतियाँ हैं:

• com.huawei.permission.sec। MDM_INSTALL_SYS_APP
• com.huawei.permission.sec। MDM_INSTALL_UNDETACHABLE_APP

स्पष्ट बताते हुए जोखिम में: पूर्व सिस्टम एप्लिकेशन इंस्टॉल करने की अनुमति है, और बाद वाला एक ऐप इंस्टॉल करने की अनुमति है जिसे बाद में अनइंस्टॉल नहीं किया जा सकता है। एमडीएम की दुनिया में भी दोनों असामान्य हैं, और वू के अनुसार, वर्तमान में हुआवेई के आधिकारिक दस्तावेज में न तो विशेषताएं हैं।

लेकिन एक मिनट रुकिए - क्या नए सिस्टम ऐप इंस्टॉल करना असंभव नहीं है?

वू के शोध से पता चलता है कि LZPlay जैसे ऐप सीधे / सिस्टम विभाजन के लिए ऐप इंस्टॉल नहीं करते हैं, जो केवल-पढ़ने के लिए है, लेकिन किसी अन्य ऐप के समान ही स्टोरेज योग्य है। "सिस्टम ऐप इंस्टॉल करें" एमडीएम अनुमति के लिए धन्यवाद, एंड्रॉइड फिर उन्हें सिस्टम एप्लिकेशन होने के रूप में "झंडे" देता है, जिससे उन्हें काम करने के लिए सही अनुमति मिलती है। और जब LZPlay Google के मुख्य घटकों को डाउनलोड करता है, तो यह हो रहा है... जहाँ भी यह उन्हें से yanks।

इस तरह की एक अनैच्छिक अनुमति बहुत ही असामान्य है और, अगर दुरुपयोग किया जाता है, तो सुरक्षा के लिए संभावित रूप से खराब है। हालांकि, उपयोगकर्ताओं को करना पड़ता है चुनें प्रभावित होने से पहले एक ऐप प्रशासक की अनुमति देने के लिए। और जगह में अन्य सुरक्षा उपाय हैं, जो हम जल्द ही प्राप्त करेंगे, हुआवेई अपने सभी एमडीएम अनुमतियों के लिए एक द्वारपाल के रूप में कार्य करेगा। फिर भी, जैसा कि वू अपने लेख में बताते हैं, उसी लेखन योग्य स्टोरेज पर सिस्टम ऐप्स के मूल संस्करणों को संग्रहीत करते हैं अन्य उपयोगकर्ता ऐप के रूप में आसान छेड़छाड़ की संभावना को खोलता है अगर कुछ अन्य सुरक्षा भेद्यता है की खोज की। (पूरी तरह से, लेकिन निश्चित रूप से असंभव नहीं है।)

वू ने अधिक सुराग के लिए हुआवेई के एमडीएम एसडीके के लिए चीनी प्रलेखन के माध्यम से कंघी की। उनका कहना है कि एमडीएम एपीआई में से किसी का उपयोग करने के लिए, डेवलपर्स को हुआवेई के साथ समझौतों पर हस्ताक्षर करने, एमडीएम अनुमतियों के उनके उपयोग को सही ठहराने और अनुमोदन के लिए एपीके फ़ाइलों को जमा करने की आवश्यकता है। एक बार अनुमोदित होने के बाद, वू कहता है, हुआवेई काम करने की अनुमति के लिए आवश्यक एक डिजिटल प्रमाणपत्र प्रदान करता है।

जो भी LZPlay के पीछे है वह गुमनाम रहने के लिए बेताब है

और वह केवल LZPlay के साथ स्थिति को और अधिक अजीब बनाता है। अनिर्दिष्ट एमडीएम अनुमतियाँ जो नए सिस्टम ऐप्स को स्थापित कर सकती हैं, निश्चित रूप से सामान्य नहीं हैं, लेकिन उसी समय यह एकमात्र तरीका है जिससे उपयोगकर्ता बिना लाइसेंस वाले फ़ोन में Google सेवाएँ स्थापित कर सकते हैं, के बग़ैर पूरी तरह torpedoing Android की अंतर्निहित सुरक्षा। फिर भी LZPlay के गुमनाम डेवलपर का विचार लंबी एमडीएम एपीआई अनुमोदन प्रक्रिया से गुजर रहा है और हुआवेई का आशीर्वाद प्राप्त करना और भी अधिक विचित्र है।

वू ने Huawei पर LZPlay के "अच्छी तरह से जागरूक" होने और उसके निरंतर अस्तित्व की अनुमति देने का आरोप लगाया:

इस बिंदु पर, यह बहुत स्पष्ट है कि Huawei इस "LZPlay" ऐप के बारे में अच्छी तरह से जानता है, और स्पष्ट रूप से अपने अस्तित्व की अनुमति देता है। इस ऐप के डेवलपर को किसी भी तरह से इन अनिर्दिष्ट एपीआई के बारे में पता होना चाहिए, कानूनी समझौतों पर हस्ताक्षर करना चाहिए, समीक्षाओं के कई चरणों से गुजरना चाहिए, और अंत में हुआवेई द्वारा हस्ताक्षरित ऐप है। एप्लिकेशन का एकमात्र उद्देश्य गैर-लाइसेंस प्राप्त डिवाइस पर Google सेवाओं को स्थापित करना है, और यह मुझे बहुत ही डरावना लगता है, लेकिन मैं कोई वकील नहीं हूं, इसलिए मुझे इसकी वैधता का बिल्कुल पता नहीं है।

हालाँकि Huawei ने ऐप या साइट के साथ किसी भी तरह की भागीदारी से इनकार किया है। को एक बयान में एंड्रॉइड सेंट्रलहुआवेई के प्रवक्ता ने कहा:

हुआवेई की नवीनतम मेट 30 श्रृंखला जीएमएस के साथ पूर्व-स्थापित नहीं है, और हुआवेई की www.lzplay.net के साथ कोई भागीदारी नहीं है

संभावित कानूनी स्केचनेस वू का तात्पर्य है कि शायद LZPlay की उत्पत्ति का पता लगाना असंभव है। एप्लिकेशन UI लेखक (ओं) पर कोई जानकारी प्रदान नहीं करता है। डोमेन के लिए WHOIS जानकारी केवल अलीबाबा के चीन स्थित क्लाउड सर्विसेज डिवीजन को संदर्भित करती है, उसी कंपनी के स्वामित्व वाले सर्वरों की आईपी रेंज के साथ। क्या अधिक है, न तो एकल-पृष्ठ वेबसाइट पर और न ही उस पृष्ठ के HTML, CSS या जावास्क्रिप्ट स्रोत कोड में कोई सुराग पाया जा सकता है। इसके शुरुआती संदर्भ हम ऑनलाइन ढूंढने में सक्षम थे, जिन पर सामुदायिक पोस्ट थे हुआवेई क्लब मध्य जुलाई के आसपास मंच, अभी भी अपने मूल के रूप में कोई जानकारी नहीं दे रहा है।

और वू का कहना है कि एपीके फ़ाइल भी इसी तरह अपारदर्शी है:

"LZPay" (sic) ऐप को QiHoo Jiagu (加固, 奇) द्वारा बाधित / एन्क्रिप्ट किया गया है, और रिवर्स इंजीनियर के लिए गैर तुच्छ है।

(एड। नोट: किहु जियागु एक चीन स्थित कंपनी है जो मोबाइल ऐप सुरक्षा में विशेषज्ञता रखती है)

किसी ने इस ऐप को बनाने के लिए पैसे का भुगतान किया, किसी तरह इसे प्रमाणित करने में सक्षम था, फिर अपनी पेशेवर दिखने वाली वेबसाइट को डिज़ाइन करने और अपनी फ़ाइलों को होस्ट करने के लिए बाहर निकाल दिया और फिर भी कोई क्रेडिट नहीं चाहता है। वास्तव में, ऐसा लगता है कि वे पूरी तरह से गुमनाम रहने के लिए चले गए हैं।

वू का मूल शोध यदि आप एक Huawei फोन पर Google एप्लिकेशन इंस्टॉल करने के लिए LZPlay विधि का उपयोग करने पर विचार कर रहे हैं तो यह अच्छी तरह से पढ़ने लायक है। (या यदि आप केवल सॉफ्टवेयर इंजीनियरिंग पागल विज्ञान की सराहना करना चाहते हैं जो यह सब काम करने के लिए आवश्यक है।) के बीच एप्लिकेशन का गुमनामी और उपयोग की जाने वाली अनुमतियों की शक्ति, यह निश्चित रूप से एक महत्वपूर्ण के साथ LZPlay को देखने के लायक है आँख।

यह समय गर्भनाल काटने का है!

ये सबसे अच्छे वायरलेस ईयरबड हैं जिन्हें आप हर कीमत पर खरीद सकते हैं!

सबसे अच्छा वायरलेस ईयरबड आरामदायक, शानदार ध्वनि, बहुत अधिक लागत नहीं है, और आसानी से जेब में फिट होते हैं।

अगली पीढ़ी

PS5 के बारे में आपको जो कुछ भी जानना है: रिलीज की तारीख, मूल्य, और बहुत कुछ।

सोनी ने आधिकारिक तौर पर पुष्टि की है कि यह PlayStation 5 पर काम कर रहा है। यहां हम सब कुछ जानते हैं जो इसके बारे में अब तक जानते हैं।

नया नोकिआस

नोकिया ने 200 डॉलर के तहत दो नए बजट एंड्रॉइड वन फोन लॉन्च किए।

एचएमडी ग्लोबल के बजट स्मार्टफोन लाइनअप में नोकिया 2.4 और नोकिया 3.4 नवीनतम जोड़ हैं। चूंकि वे दोनों एंड्रॉइड वन डिवाइस हैं, इसलिए उन्हें दो प्रमुख ओएस अपडेट प्राप्त करने और तीन साल तक नियमित सुरक्षा अपडेट प्राप्त करने की गारंटी है।

डिंग डोंग - दरवाजे बंद

इन SmartThings दरवाजे और ताले के साथ अपने घर को सुरक्षित करें।

SmartThings के बारे में सबसे अच्छी चीजों में से एक यह है कि आप अपने सिस्टम, डोरबेल और लॉक पर अन्य थर्ड-पार्टी डिवाइस का उपयोग कर सकते हैं। चूँकि वे सभी अनिवार्य रूप से एक ही SmartThings समर्थन साझा करते हैं, हमने उन उपकरणों पर ध्यान केंद्रित किया है, जिनमें आपके SmartThings के शस्त्रागार में जोड़ने के औचित्य के लिए सबसे अच्छा चश्मा और चालें हैं।