מה שאתה צריך לדעת
- חוקר האבטחה ג'ון וו מצא ממשקי API ללא תעודה המאפשרים לאפליקציות עם הרשאות מנהל להתקין אפליקציות מערכת חדשות ב- Mate 30.
- ההרשאות משמשות את אפליקציית "LZPlay" להתקנת המסגרת והשירותים של גוגל, אך וו אומר כי הן גם סיכון אבטחה.
- Huawei אומרת שה- Mate 30 אינו נשלח עם GMS, וכי אין לו "שום מעורבות" עם LZPlay.
זמן קצר לאחר פרסום עדכון זה, אתר LZPlay הוסר, והאפליקציה כבר לא עובדת. Mate 30 מכשירים עם אפליקציות גוגל המותקנות מ- LZPlay כבר לא עוברים את ה- CTS (חבילת בדיקות תאימות) של גוגל לדברים כמו DRM ותמיכה ב- Google Pay.
ה- Mate 30 Pro הוא ספינת הדגל הראשונה של Huawei שהושקה מאז נוספה החברה הסינית לרשימת היישויות של ממשלת ארה"ב, מה שאומר שהיא לא יכולה לשלוח אפליקציות ושירותים של גוגל. זמן קצר לאחר ההשקה, אפליקציית "Google Service Assistant" (המכונה LZPlay, מכתובת האתר שלה) הפך ידוע כדרך פשוטה להחזיר את שירותי Google ל- Mate 30. אולם בדיוק איך זה עבד לא היה ידוע עד שהמפתח ומומחה האבטחה של אנדרואיד ג'ון וו נקלע לפעולתו הפנימית.
Verizon מציעה את פיקסל 4a במחיר של 10 דולר לחודש בלבד בקווים חדשים ללא הגבלה
במאמר שפורסם היום ב בינוני, וו אומר כי האפליקציה משתמשת בהרשאות Huawei MDM (ניהול מכשירים ניידים) ללא תיעוד על מנת להתקין המרכיבים והאפליקציות העיקריים של גוגל כאפליקציות מערכת - מצב יוצא דופן עם השלכות על המכשיר בִּטָחוֹן. יתרה מכך, המחקר של וו טוען שכדי להשתמש בהרשאות רבות-עוצמה אלה, המפתח האלמוני של LZPlay יצטרך לקבל הסמכה מ- Huawei. בהצהרה ל אנדרואיד סנטרל, Huawei הכחישה כל מעורבות ב- LZPlay.
בדרך כלל, אינך יכול להתקין אפליקציות מערכת חדשות.
הסיבה העיקרית לכך שאתה לא יכול פשוט להתקין את מסגרת Google, ליבת GMS ושאר התשתית של גוגל שירותים כמו קובץ APK רגיל הם מכיוון שהם אפליקציות מערכת ומשתמשים בהרשאות מיוחדות שאינן זמינות באופן רגיל אפליקציות. לאפליקציות מערכת יכול להיות הרבה יותר שליטה בטלפון שלך מאשר באפליקציה שתוריד מחנות Google Play. ולמרות שאפליקציות מערכת פחית להתעדכן בגרסאות חדשות - לדוגמא, מחנות Play - תחילה יש לטעון את המקור על מחיצת / המערכת על ידי יצרן הטלפון. יש לחתום על גרסאות מעודכנות של אפליקציות באותו מפתח אבטחה כמו הגרסה המקורית.
בדרך כלל לא ניתן לשנות את מחיצת / המערכת אלא אם כן הטלפון הוא מוּשׁרָשׁ. ככאלה, משתמשי אנדרואיד בדרך כלל לא יכולים להתקין אפליקציות מערכת חדשות - שמסיבות אבטחה זה דבר טוב מאוד.
מכיוון ש- Huawei לא יכולה לעשות עסקים באופן חוקי עם חברות אמריקאיות, היא לא יכולה לטעון את היישומים האלה במפעל. עם זאת, משתמשים גם אינם יכולים להתקין ישירות את שירותי Google, מכיוון שהם אפליקציות מערכת. (ומכיוון ש- Huawei נועלת את מטעי האתחול שלה, גם השתרשות אינה באה בחשבון.)
הפיתרון, עבור היוצרים (ים) של LZPlay, הוא להשתמש בקבוצת משנה עוצמתית אך ללא תיעוד של המכשיר הנייד של Huawei. ממשקי API לניהול. ממשקי API של MDM נותנים שליטה עצומה על המכשיר, ומשמשים לעתים קרובות עסקים לניהול טלפונים בבעלות החברה.
שתי הרשאות חזקות ללא תיעוד מונחות בלב LZPlay
שתי ההרשאות ללא תיעוד MDM שגילו ג'ון וו הן:
- com.huawei.permission.sec. MDM_INSTALL_SYS_APP
- com.huawei.permission.sec. MDM_INSTALL_UNDETACHABLE_APP
תוך סיכון של קביעת המובן מאליו: הראשונה היא הרשאה להתקין אפליקציות מערכת, והאחרונה היא הרשאה להתקין אפליקציה שלא ניתן יהיה להסיר בהמשך. שניהם יוצאי דופן אפילו בעולם ה- MDM, ועל פי וו, אף אחד מהם אינו מופיע בתיעוד הרשמי של Huawei.
אבל חכו רגע - האם אי אפשר להתקין אפליקציות מערכת חדשות?
המחקר של וו מראה כי יישומים כמו LZPlay לא מתקינים אפליקציות ישירות למחיצת / מערכת, שהיא לקריאה בלבד, אלא אותה אחסון הניתן לכתיבה כמו כל אפליקציה אחרת. הודות להרשאת ה- MDM של "התקנת אפליקציית המערכת", אנדרואיד ואז "מסמנת" אותם כאפליקציות מערכת, ומעניקה להם את ההרשאות הנכונות לעבוד. וזה מה שקורה כאשר LZPlay מוריד את רכיבי הליבה של גוגל מ... מאיפה שהוא תומך בהם.
אישור בלתי מתועד כזה הוא יוצא דופן מאוד, ואם הוא מנוצל, עלול להזיק לביטחון. על המשתמשים לעשות זאת בחר לתת הרשאות מנהל מערכת לאפליקציה לפני שהן יכולות להיות מושפעות. ויש אמצעי אבטחה אחרים במקום, שאליו נגיע בקרוב, עם Huawei ישמש כשומר סף על כל הרשאות ה- MDM השונות שלה. עם זאת, כפי שמסביר וו במאמרו, אחסון הגרסאות המקוריות של אפליקציות מערכת באותו אחסון הניתן לכתיבה כמו אפליקציות משתמש אחרות פותחת אפשרות לפגיעות קלות יותר אם קיימת פגיעות אבטחה אחרת גילה. (לא סביר, אבל בהחלט לא בלתי אפשרי.)
וו סרקה את התיעוד הסיני ל- MDM SDK של Huawei לקבלת רמזים נוספים. לדבריו, על מנת להשתמש באחד מממשקי ה- API של MDM, מפתחים צריכים לחתום על הסכמים עם Huawei, להצדיק את השימוש בהרשאות MDM ולהגיש קבצי APK לאישור. לאחר אישורו, אומר וו, Huawei מספקת אישור דיגיטלי הכרחי לצורך הרשאות העבודה.
מי שעומד מאחורי LZPlay נראה נואש להישאר אנונימי
וזה רק הופך את המצב עם LZPlay ליותר מוזר. בעל הרשאות MDM ללא תיעוד שיכולות להתקין אפליקציות חדשות למערכת הוא בהחלט לא נורמלי, אבל יחד עם זאת זו הדרך היחידה שמשתמשים יכלו להתקין שירותי Google לטלפון ללא רישיון, לְלֹא לַחֲלוּטִין לטרפד את האבטחה המובנית של אנדרואיד. עם זאת הרעיון של היזם האנונימי של LZPlay לעבור את תהליך אישור ה- API MDM הארוך ולקבל את ברכת Huawei הוא מוזר עוד יותר.
וו מאשים את Huawei בכך שהיא "מודעת היטב" ל- LZPlay, ומאפשרת את המשך קיומה:
בשלב זה, זה די ברור כי Huawei מודעת היטב לאפליקציית "LZPlay" הזו בִּמְפוּרָשׁ מאפשר את קיומו. מפתח אפליקציה זו צריך להיות איכשהו מודע לממשקי ה- API הלא מתועדים הללו, לחתום על ההסכמים החוקיים, לעבור מספר שלבים של ביקורות, ובסופו של דבר להחתים את האפליקציה על ידי Huawei. מטרתה היחידה של האפליקציה היא להתקין את שירותי גוגל במכשיר שאינו מורשה, וזה נשמע לי מאוד מתוח, אבל אני לא עורך דין ולכן אין לי מושג לגבי חוקיותו.
עם זאת, Huawei הכחישה כל מעורבות באפליקציה או באתר. בהצהרה ל אנדרואיד סנטרלדובר Huawei אמר:
סדרת ה- Mate 30 האחרונה של Huawei אינה מותקנת מראש ב- GMS, ול- Huawei לא הייתה כל מעורבות ב- www.lzplay.net
הסקישות המשפטית הפוטנציאלית אליה מתייחס וו היא אולי הסיבה שאי אפשר להתחקות אחר מקורותיה של LZPlay. ממשק המשתמש של האפליקציה אינו מציע מידע על הכותבים. המידע של WHOIS עבור הדומיין מתייחס רק לחטיבת שירותי הענן שבסיסה של עליבאבא, עם טווח ה- IP של השרתים שבהם הוא מתארח בבעלות אותה חברה. יתרה מכך, אין שום רמזים באתר הדף היחיד עצמו ולא בקוד המקור של HTML, CSS או Javascript של אותו דף. ההתייחסויות המוקדמות אליו הצלחנו למצוא ברשת היו בפוסטים בקהילה ב- מועדון Huawei פורום בסביבות אמצע יולי, ועדיין לא מציע שום מידע לגבי מקורותיו.
וו וו אומר שקובץ ה- APK עצמו אטום באופן דומה:
אפליקציית "LZPay" (sic) מטושטשת / מוצפנת על ידי QiHoo Jiagu (奇 虎 加固), והיא לא טריוויאלית להנדסה לאחור.
(הערה עריכה: QiHoo Jiagu היא חברה מבוססת סין המתמחה באבטחת אפליקציות סלולריות)
מישהו שילם כסף כדי ליצור את האפליקציה הזו, איכשהו הצליח לקבל את ההסמכה שלה, ואז התחלק לעצב את האתר שלה למראה מקצועי ולארח את הקבצים שלו ובכל זאת לא רוצה שום אשראי. למעשה, נראה שהם יצאו מגדרם להישאר אנונימיים לחלוטין.
המחקר המקורי של וו שווה לקרוא אם אתה שוקל להשתמש בשיטת LZPlay להתקנת אפליקציות Google בטלפון Huawei. (או אם אתה רק רוצה להעריך את המדע המטורף בהנדסת תוכנה שנדרש כדי לעשות את כל העבודה הזו.) בין האנונימיות של האפליקציה ועוצמת ההרשאות בה היא משתמשת, בהחלט שווה להסתכל על LZPlay עם קריטי עַיִן.
אלה האוזניות האלחוטיות הטובות ביותר שאתה יכול לקנות בכל מחיר!
האוזניות האלחוטיות הטובות ביותר נוחות, נשמעות נהדר, לא עולות יותר מדי ונכנסות בקלות לכיס.
כל מה שאתה צריך לדעת על PS5: תאריך יציאה, מחיר ועוד.
סוני אישרה רשמית שהיא עובדת על פלייסטיישן 5. הנה כל מה שאנחנו יודעים עליו עד כה.
נוקיה משיקה שני מכשירי אנדרואיד One בתקציב חדש, הנמוך מ- $ 200
נוקיה 2.4 ונוקיה 3.4 הן התוספות האחרונות למערך הסמארטפונים התקציביים של HMD Global. מכיוון ששניהם מכשירי Android One, מובטח שהם יקבלו שני עדכוני מערכת הפעלה עיקריים ועדכוני אבטחה רגילים עד שלוש שנים.
אבטח את הבית באמצעות פעמוני הדלת והמנעולים של SmartThings.
אחד הדברים הטובים ביותר ב- SmartThings הוא שתוכל להשתמש במגוון מכשירי צד שלישי אחרים במערכת שלך, כולל פעמוני דלתות ומנעולים. מכיוון שכולם בעצם חולקים את אותה תמיכה ב- SmartThings, התמקדנו באילו מכשירים יש את המפרט והטריקים הטובים ביותר כדי להצדיק הוספתם לארסנל ה- SmartThings שלך.