Kas jums jāzina
- Drošības pētnieks Džons Vū ir atradis nedokumentētus API, kas ļauj lietotnēm ar administratora privilēģijām instalēt jaunas sistēmas lietotnes Mate 30.
- Atļaujas izmanto lietotne "LZPlay", lai instalētu Google sistēmu un pakalpojumus, taču Vu saka, ka tie ir arī drošības riski.
- Huawei saka, ka Mate 30 netiek piegādāts ar GMS, un ka tam nav "nekādas saistības" ar LZPlay.
Neilgi pēc šī atjauninājuma publicēšanas vietne LZPlay tika noņemta, un lietotne vairs nedarbojas. Mate 30 ierīces ar Google lietotnēm, kas instalētas no LZPlay, vairs neiztur Google CTS (saderības testēšanas komplektu) tādām lietām kā DRM un Google Pay atbalsts.
Mate 30 Pro ir pirmais Huawei flagmanis, kas palaists tirgū kopš Ķīnas uzņēmuma pievienošanas ASV valdības Entity List, kas nozīmē, ka to nevar piegādāt ar Google lietotnēm un pakalpojumiem. Neilgi pēc palaišanas lietotne "Google Service Assistant" (jeb LZPlay no tās vietnes URL) kļuva labi zināms kā vienkāršu veidu, kā atjaunot Google pakalpojumus Mate 30. Tomēr tieši tas, kā tas darbojās, nebija zināms, kamēr izstrādātājs un Android drošības eksperts Džons Vū nebija iestrēdzis tā iekšējā darbībā.
Verizon piedāvā Pixel 4a tikai par 10 USD mēnesī jaunās Neierobežotās līnijās
Gabalā, kas šodien publicēts Vidējs, Vu saka, ka lietotne instalēšanai izmanto nedokumentētas Huawei MDM (mobilo ierīču pārvaldība) atļaujas galvenie Google komponenti un lietotnes kā sistēmas lietotnes - neparasta situācija, kas ietekmē ierīci drošība. Turklāt Vu pētījumi apgalvo, ka, lai izmantotu šīs jaudīgās nedokumentētās atļaujas, anonīmajam LZPlay izstrādātājam būtu jāsaņem Huawei sertifikāts. Paziņojumā Android Central, Huawei ir noliedzis jebkādu saistību ar LZPlay.
Parasti jūs nevarat instalēt jaunas sistēmas lietotnes.
Galvenais iemesls, kāpēc jūs nevarat vienkārši instalēt Google Framework, GMS Core un citus Google pamatus Pakalpojumi, piemēram, parasts APK fails, ir tāpēc, ka tie ir sistēmas lietotnes un izmanto īpašas atļaujas, kas nav pieejamas regulāri lietotnes. Sistēmas lietotnes var kontrolēt tālruni daudz labāk nekā lietotne, kuru lejupielādējat no Google Play veikala. Un, lai gan sistēmas lietotnes var jāatjaunina ar jaunām versijām - piemēram, no Play veikala - tālruņa ražotājam oriģināli vispirms jāielādē / sistēmas nodalījumā. Pēc tam lietotņu atjauninātās versijas jāparaksta ar tādu pašu drošības atslēgu kā sākotnējā versijā.
Lietotāji parasti nevar mainīt / sistēmas nodalījumu, ja vien tālrunis nav sakņojas. Android lietotāji parasti nevar instalēt jaunas sistēmas lietotnes - kas drošības apsvērumu dēļ ir ļoti laba lieta.
Tā kā Huawei nevar likumīgi veikt darījumus ar ASV uzņēmumiem, tas nevar ielādēt šīs lietotnes rūpnīcā. Tomēr lietotāji arī paši nevar tieši instalēt Google pakalpojumus, jo viņi ir sistēmas lietotnes. (Un, tā kā Huawei bloķē savus ielādes aparātus, par saknēm arī nav runas.)
Risinājums LZPlay veidotājam (iem) ir izmantot jaudīgu, bet nedokumentētu Huawei mobilās ierīces apakškopu Pārvaldības API. MDM API nodrošina milzīgu ierīces kontroli, un uzņēmumi tos bieži izmanto pārvaldībai uzņēmumam piederošie tālruņi.
LZPlay centrā ir divas jaudīgas, nedokumentētas atļaujas
Divas Džona Vu atklātās nedokumentētās MDM atļaujas ir:
- com.huawei.permission.sec. MDM_INSTALL_SYS_APP
- com.huawei.permission.sec. MDM_INSTALL_UNDETACHABLE_APP
Risks norādīt acīmredzamo: pirmais ir atļauja instalēt sistēmas lietotnes, bet otrā ir atļauja instalēt lietotni, kuru pēc tam nevar atinstalēt. Abi ir neparasti pat MDM pasaulē, un, pēc Wu domām, pašlaik neviens no tiem nav Huawei oficiālajā dokumentācijā.
Bet pagaidiet minūti - vai nav neiespējami instalēt jaunas sistēmas lietotnes?
Vu pētījumi liecina, ka tādas lietotnes kā LZPlay neinstalē lietotnes tieši / system nodalījumā, kas ir tikai lasāms, bet tajā pašā rakstāmā krātuvē kā jebkura cita lietotne. Pateicoties MDM atļaujai "instalēt sistēmas lietotni", Android tos pēc tam "atzīmē" kā sistēmas lietotnes, piešķirot tām pareizas atļaujas darbam. Un tas notiek, kad LZPlay lejupielādē Google galvenos komponentus no... no kurienes tas viņus rausta.
Šāda nedokumentēta atļauja ir ļoti neparasta un, ja tā tiek ļaunprātīgi izmantota, potenciāli kaitē drošībai. Lietotājiem tomēr ir izvēlēties piešķirt lietotnes administratoram atļaujas, pirms tās var ietekmēt. Ir arī citi drošības pasākumi, pie kuriem mēs drīz nonāksim, Huawei darbojoties kā sargs visām savām dažādajām MDM atļaujām. Tomēr, kā Vu paskaidro savā rakstā, sistēmas lietotņu sākotnējās versijas tiek glabātas tajā pašā rakstāmajā krātuvē tā kā citas lietotāju lietotnes paver iespēju vieglāk manipulēt, ja ir kāda cita drošības ievainojamība atklāja. (Maz ticams, bet noteikti nav neiespējams.)
Lai uzzinātu vairāk norāžu, Vu ķemmēja ķīniešu dokumentāciju par Huawei MDM SDK. Viņš saka, ka, lai izmantotu kādu no MDM API, izstrādātājiem ir jāparaksta līgumi ar Huawei, jāpamato MDM atļauju izmantošana un jāiesniedz APK faili apstiprināšanai. Pēc apstiprināšanas, Vu saka, Huawei nodrošina digitālo sertifikātu, kas nepieciešams, lai atļaujas darbotos.
Tas, kurš stāv aiz LZPlay, izmisīgi vēlas palikt anonīms
Un tas situāciju tikai ar LZPlay padara vēl dīvaināku. Ja nav dokumentētu MDM atļauju, ar kurām var instalēt jaunas sistēmas lietotnes, tas noteikti nav normāli, bet tajā pašā laikā tas ir vienīgais veids, kā lietotāji var instalēt Google pakalpojumus nelicencētā tālrunī, bez pilnībā torpedēt Android iebūvēto drošību. Tomēr ideja, ka anonīmais LZPlay izstrādātājs iziet garo MDM API apstiprināšanas procesu un iegūst Huawei svētību, ir vēl savādāka.
Vu apsūdz Huawei par to, ka viņš "labi pārzina" LZPlay un ļauj tam turpināt pastāvēt:
Šajā brīdī ir diezgan acīmredzami, ka Huawei labi pārzina šo lietotni "LZPlay" un nepārprotami pieļauj tās eksistenci. Šīs lietotnes izstrādātājam kaut kā jāapzinās šie nedokumentētie API, jāparaksta juridiskie līgumi, jāiziet vairāki pārskatīšanas posmi un galu galā lietotne jāparaksta Huawei. Lietotnes vienīgais mērķis ir instalēt Google pakalpojumus nelicencētā ierīcē, un tas man izklausās ļoti pavirši, bet es neesmu jurists, tāpēc man nav absolūti ne jausmas par tā likumību.
Tomēr Huawei ir noraidījis jebkādu saistību ar lietotni vai vietni. Paziņojumā Android Central, Huawei pārstāvis teica:
Huawei jaunākā Mate 30 sērija nav iepriekš instalēta ar GMS, un Huawei nav bijis nekādas saistības ar www.lzplay.net
Iespējamā juridiskā ieskatība, uz kuru Wu atsaucas, iespējams, tāpēc nav iespējams izsekot LZPlay izcelsmei. Lietotnes lietotāja saskarne nepiedāvā informāciju par autoru (-iem). WHOIS informācija par domēnu tikai attiecas uz Alibaba Ķīnā bāzēto mākoņpakalpojumu nodaļu, kuras serveru IP diapazons pieder tam pašam uzņēmumam. Vēl vairāk - nav nevienas norādes ne pašā vienas lapas vietnē, ne šīs lapas HTML, CSS vai Javascript avota kodā. Pirmās atsauces uz to, ko varējām atrast tiešsaistē, bija kopienas ierakstos vietnē Huawei klubs ap jūlija vidu, joprojām nepiedāvājot informāciju par tā izcelsmi.
Un Wu saka, ka pats APK fails ir līdzīgi necaurspīdīgs:
QiHoo Jiagu (奇 虎 加固) neskaidra / šifrēta lietotne "LZPay" (sic) ir reversa inženiera ziņā nebūtiska.
(Red. Piezīme: QiHoo Jiagu ir Ķīnā dibināta firma, kas specializējas mobilo lietotņu drošībā)
Kāds samaksāja naudu, lai izveidotu šo lietotni, kaut kā varēja to sertificēt, pēc tam izveidoja savu profesionāla izskata vietni un mitināja tās failus, taču nevēlas kredītu. Patiesībā šķiet, ka viņi ir darījuši visu, lai paliktu pilnīgi anonīmi.
Vu oriģinālie pētījumi ir vērts izlasīt, ja apsverat iespēju izmantot LZPlay metodi Google lietotņu instalēšanai Huawei tālrunī. (Vai arī, ja jūs vienkārši vēlaties novērtēt programmatūras inženierijas neprātīgo zinātni, kas nepieciešama visu šo darbu veikšanai.) Starp lietotnes anonimitāte un tās izmantoto atļauju spēks, noteikti ir vērts aplūkot LZPlay ar kritisku acs.
Šie ir labākie bezvadu ausu uzgaļi, kurus varat iegādāties par katru cenu!
Vislabākie bezvadu austiņu korpusi ir ērti, izklausās lieliski, neizmaksā pārāk daudz un viegli ietilpst kabatā.
Viss, kas jums jāzina par PS5: izlaišanas datums, cena un vēl vairāk.
Sony ir oficiāli apstiprinājis, ka strādā pie PlayStation 5. Šeit ir viss, ko mēs par to zinām līdz šim.
Nokia izlaiž divus jaunus budžeta Android One tālruņus zem 200 USD.
Nokia 2.4 un Nokia 3.4 ir jaunākie papildinājumi HMD Global budžeta viedtālruņu klāstā. Tā kā tās abas ir Android One ierīces, tiek garantēts, ka tās saņems divus galvenos OS atjauninājumus un regulārus drošības atjauninājumus līdz trim gadiem.
Nodrošiniet savu māju ar šiem SmartThings durvju zvaniem un slēdzenēm.
Viena no labākajām lietām par SmartThings ir tā, ka savā sistēmā varat izmantot virkni citu trešo pušu ierīču, iekļaujot durvju zvani un slēdzenes. Tā kā tām visām būtībā ir vienāds SmartThings atbalsts, mēs esam koncentrējušies uz to, kurām ierīcēm ir vislabākās specifikācijas un triki, lai attaisnotu to pievienošanu jūsu SmartThings arsenālam.