Amit tudnod kell
- John Wu biztonsági kutató dokumentáció nélküli API-kat talált, amelyek lehetővé teszik az adminisztrátori jogosultsággal rendelkező alkalmazások számára, hogy új rendszeralkalmazásokat telepítsenek a Mate 30-ra.
- Az engedélyeket az "LZPlay" alkalmazás használja a Google keretrendszer és szolgáltatások telepítésére, de Wu szerint ezek biztonsági kockázatot is jelentenek.
- A Huawei szerint a Mate 30 nem szállít GMS-sel, és hogy "nincs köze" az LZPlay-hez.
Nem sokkal a frissítés közzététele után az LZPlay webhelyet eltávolították, és az alkalmazás már nem működik. Az LZPlay-ről telepített Google-alkalmazásokkal rendelkező 30 eszköz már nem felel meg a Google CTS-jének (kompatibilitási tesztkészlet) olyan dolgoknak, mint a DRM és a Google Pay támogatás.
A Mate 30 Pro az első Huawei zászlóshajó, amely azóta indult, hogy a kínai vállalat felvette az Egyesült Államok kormányának entitáslistáját, vagyis nem képes szállítani a Google alkalmazásainak és szolgáltatásainak. Röviddel az indítás után a "Google Service Assistant" alkalmazás (más néven LZPlay, a webhely URL-jéről)
közismertté vált a Google-szolgáltatások Mate 30-ra történő visszaállításának egyszerű módja. Ennek pontos működése mindaddig nem volt ismert, amíg John Wu fejlesztő és Android biztonsági szakértő belemerült a belső működésébe.A Verizon a Pixel 4a készüléket mindössze 10 USD / hó áron kínálja az új Unlimited vonalakon
A mai napon megjelent darabban Közepes, Wu azt mondja, hogy az alkalmazás dokumentáció nélküli Huawei MDM (mobileszköz-kezelés) engedélyeket használ a telepítéshez a Google legfontosabb összetevői és alkalmazásai, mint rendszeralkalmazások - szokatlan helyzet, amely kihat az eszközre Biztonság. Ráadásul Wu kutatásai szerint ezeknek a hatalmas, dokumentálatlan engedélyeknek a felhasználásához az LZPlay névtelen fejlesztőjének igazolást kell kapnia a Huawei-től. Nyilatkozatában Android Central, A Huawei tagadta, hogy bármilyen kapcsolatban lenne az LZPlay-vel.
Normál esetben nem lehet új rendszeralkalmazásokat telepíteni.
A fő ok, amiért nem telepítheti egyszerűen a Google Frameworket, a GMS Core-ot és a Google egyéb alapjait A normál APK-fájlhoz hasonló szolgáltatások azért vannak, mert rendszeralkalmazások, és speciális engedélyeket használnak, amelyek nem érhetők el a rendszeres felhasználók számára alkalmazások. A rendszeralkalmazások sokkal jobban vezérelhetik telefonját, mint a Google Play Áruházból letöltött alkalmazások. És bár a rendszeralkalmazások tud frissíteni kell új verziókkal - például a Play Store-ból - az eredetiket először a telefon gyártójának kell betölteni a / system partícióra. Ezután az alkalmazások frissített verzióit ugyanazzal a biztonsági kulccsal kell aláírni, mint az eredeti verziót.
A / system partíciót a felhasználók általában csak a telefon megváltoztatásával módosíthatják gyökeres. Mint ilyen, az Android-felhasználók általában nem tudnak új rendszeralkalmazásokat telepíteni - ez biztonsági okokból nagyon jó dolog.
Mivel a Huawei törvényesen nem folytathat üzletet amerikai vállalatokkal, gyárilag nem tudja betölteni ezeket az alkalmazásokat. A felhasználók azonban a Google-szolgáltatásokat sem tudják közvetlenül maguk telepíteni, mert rendszeralkalmazások. (És mivel a Huawei bezárja a boot betöltőit, a gyökeresedés sem jöhet szóba.)
Az LZPlay készítője (i) számára a megoldás a Huawei mobileszközének erőteljes, de dokumentálatlan részhalmazának használata Management API-k. Az MDM API-k hatalmas mennyiségű ellenőrzést biztosítanak az eszköz felett, és a vállalkozások gyakran használják a kezelésükhöz vállalat tulajdonában lévő telefonok.
Az LZPlay középpontjában két nagy, dokumentáció nélküli engedély található
John Wu által felfedezett két dokumentálatlan MDM-engedély:
- com.huawei.permission.sec. MDM_INSTALL_SYS_APP
- com.huawei.permission.sec. MDM_INSTALL_UNDETACHABLE_APP
A nyilvánvaló megállapításának kockázatával: Az előbbi engedély a rendszeralkalmazások telepítésére, az utóbbi pedig egy olyan alkalmazás telepítésének engedélye, amelyet később nem lehet eltávolítani. Mindkettő szokatlan még az MDM világában is, és Wu szerint jelenleg egyik sem szerepel a Huawei hivatalos dokumentációjában.
De várjon egy percet - nem lehetetlen új rendszeralkalmazásokat telepíteni?
Wu kutatásai azt mutatják, hogy az olyan alkalmazások, mint az LZPlay, nem telepítik az alkalmazásokat közvetlenül a / system partícióra, amely csak olvasható, de ugyanolyan írható tárhely, mint bármely más alkalmazás. A "telepítse a rendszeralkalmazást" MDM engedélynek köszönhetően az Android ezután "megjelöli" őket rendszeralkalmazásként, megfelelő működési engedélyeket biztosítva számukra. És ez történik, amikor az LZPlay letölti a Google fő alkotóelemeit a... bárhonnan rángatja őket.
Egy ilyen, nem dokumentált engedély nagyon szokatlan, és ha visszaélnek vele, potenciálisan káros lehet a biztonságra. A felhasználóknak azonban muszáj választ hogy az alkalmazás rendszergazdájának engedélyeket adjon, mielőtt azok érintettek lehetnek És vannak más biztonsági intézkedések is, amelyekhez hamarosan eljutunk, a Huawei kapuvédőként működik az összes különféle MDM-engedélye mellett. Mégis, ahogy Wu cikkében kifejtette, a rendszeralkalmazások eredeti verzióinak tárolása ugyanazon az írható tárhelyen mivel más felhasználói alkalmazások megnyitják a könnyebb beavatkozás lehetőségét, ha más biztonsági rés van felfedezték. (Nem valószínű, de természetesen nem lehetetlen.)
Wu átfésülte a Huawei MDM SDK kínai dokumentációját további nyomokért. Azt mondja, hogy az MDM API-k bármelyikének használatához a fejlesztőknek alá kell írniuk a Huawei-vel a megállapodásokat, meg kell indokolniuk az MDM-engedélyek használatát, és jóváhagyásra be kell nyújtaniuk az APK-fájlokat. A jóváhagyást követően Wu szerint a Huawei biztosít egy digitális tanúsítványt, amely szükséges az engedélyek működéséhez.
Aki az LZPlay mögött áll, kétségbeesettnek tűnik, hogy névtelen maradjon
És ez csak még furcsábbá teszi az LZPlay-vel kapcsolatos helyzetet. Az új rendszeralkalmazások telepítésére szolgáló dokumentálatlan MDM-engedélyek biztosan nem normálisak, de igen ugyanakkor a felhasználók csak így telepíthetik a Google szolgáltatásait engedély nélküli telefonra, nélkül teljesen torpedózta meg az Android beépített biztonságát. Az LZPlay névtelen fejlesztőjének ötlete azonban, hogy végigcsinálja a hosszadalmas MDM API jóváhagyási folyamatot és megszerezze a Huawei áldását, még bizarrabb.
Wu azzal vádolja a Huawei-t, hogy "jól ismeri" az LZPlay-t, és lehetővé teszi annak további létezését:
Ezen a ponton elég nyilvánvaló, hogy a Huawei jól ismeri ezt az "LZPlay" alkalmazást, és kifejezetten megengedi a létét. Ennek az alkalmazásnak a fejlesztőjének valahogy ismernie kell ezeket a dokumentálatlan API-kat, alá kell írnia a jogi megállapodásokat, több szakaszon át kell esnie a felülvizsgálatokon, és végül az alkalmazást a Huawei aláírja. Az alkalmazás egyetlen célja a Google Services telepítése egy nem engedélyezett eszközre, és számomra nagyon vázlatosan hangzik, de nem vagyok ügyvéd, így fogalmam sincs a törvényességéről.
A Huawei azonban tagadta, hogy bármilyen kapcsolatban lenne az alkalmazással vagy a webhelypel. Nyilatkozatában Android Central, a Huawei szóvivője elmondta:
A Huawei legújabb Mate 30 sorozatát nem telepítették előre GMS-sel, és a Huawei nem volt érintett a www.lzplay.net oldalon.
A Wu által hivatkozott lehetséges jogi vázlatok talán ezért lehetetlen nyomon követni az LZPlay eredetét. Az alkalmazás felhasználói felület nem nyújt információt a szerző (k) ről. A domain WHOIS-információ csak az Alibaba kínai alapú felhőszolgáltatási részlegére utal, ahol a kiszolgálók IP-tartománya ugyanazon cég tulajdonában van. Sőt, sem az egyoldalas weboldalon, sem az adott oldal HTML, CSS vagy Javascript forráskódjában nincsenek nyomok. A legkorábbi utalások, amelyeket online módon találtunk, a Huawei Club július közepe körüli fórumon, még mindig nem nyújt információt a származásáról.
És Wu szerint maga az APK fájl is hasonlóan átlátszatlan:
Az "LZPay" (sic) alkalmazást a QiHoo Jiagu (奇 虎 加固) homályosítja / titkosítja, és a visszamérnöki munka szempontjából sem triviális.
(Szerk. Megjegyzés: A QiHoo Jiagu kínai alkalmazás, amely a mobilalkalmazások biztonságára szakosodott)
Valaki pénzt fizetett az alkalmazás létrehozásáért, valahogyan képes volt megszerezni azt tanúsítvánnyal, majd kiakadt, hogy megtervezze professzionális megjelenésű webhelyét és tárolja a fájljait, és mégsem akar hitelt. Valójában úgy tűnik, hogy mindent megtettek, hogy teljesen névtelenek maradjanak.
Wu eredeti kutatása érdemes elolvasni, ha az LZPlay módszer használatát fontolgatja a Google-alkalmazások telepítéséhez egy Huawei telefonra. (Vagy ha csak értékelni akarja a szoftverfejlesztés őrült tudományát, amely mindezek működéséhez szükséges.) Között az alkalmazás névtelensége és az általa használt engedélyek ereje, mindenképpen érdemes az LZPlay-re kritikusan nézni szem.
Ezek a legjobb vezeték nélküli fülhallgatók, amelyeket minden áron megvásárolhat!
A legjobb vezeték nélküli fülhallgató kényelmes, remekül hangzik, nem kerül túl sokba, és könnyen elfér a zsebében.
Minden, amit tudnia kell a PS5-ről: Kiadás dátuma, ára és még sok más.
A Sony hivatalosan megerősítette, hogy a PlayStation 5-en dolgozik. Itt van minden, amit eddig tudtunk róla.
A Nokia két új, 200 dollár alatti, olcsó Android One telefont dob piacra.
A Nokia 2.4 és a Nokia 3.4 a legújabb kiegészítés a HMD Global költségvetési okostelefon-kínálatában. Mivel mindkettő Android One eszköz, garantáltan két fő operációs rendszer frissítést és rendszeres biztonsági frissítést kapnak akár három évig is.
Biztosítsa otthonát ezekkel a SmartThings kapucsengőkkel és zárakkal.
Az egyik legjobb dolog a SmartThings-ben, hogy számos más, harmadik féltől származó eszközt használhat a rendszerén, beleértve a csengőket és a zárakat is. Mivel mindegyikük lényegében ugyanazt a SmartThings támogatást osztja meg, arra összpontosítottunk, hogy mely eszközök rendelkeznek a legjobb specifikációkkal és trükkökkel, hogy indokolttá tegyük őket a SmartThings arzenáljába.