Wat je moet weten
- Beveiligingsonderzoeker John Wu heeft ongedocumenteerde API's gevonden waarmee apps met beheerdersrechten nieuwe systeem-apps op de Mate 30 kunnen installeren.
- De rechten worden gebruikt door de "LZPlay" -app om het Google-framework en de services te installeren, maar Wu zegt dat ze ook een beveiligingsrisico vormen.
- Huawei zegt dat de Mate 30 niet wordt geleverd met GMS en dat hij "niet betrokken is" bij LZPlay.
Kort nadat deze update was gepubliceerd, werd de LZPlay-website verwijderd en werkt de app niet meer. Mate 30-apparaten waarop Google-apps zijn geïnstalleerd vanuit LZPlay, voldoen niet langer aan de CTS (compatibiliteitstestsuite) van Google voor zaken als DRM en Google Pay-ondersteuning.
De Mate 30 Pro is het eerste vlaggenschip van Huawei dat wordt gelanceerd sinds het Chinese bedrijf is toegevoegd aan de entiteitenlijst van de Amerikaanse overheid, wat betekent dat het niet kan worden geleverd met Google-apps en -services. Kort na het starten van de app 'Google Service Assistant' (ook bekend als LZPlay, via de website-URL)
werd bekend als een eenvoudige manier om Google-services te herstellen op de Mate 30. Maar hoe het precies werkte, was pas bekend toen ontwikkelaar en Android-beveiligingsexpert John Wu zich verdiepten in de innerlijke werking ervan.Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe Unlimited-lijnen
In een stuk dat vandaag is gepubliceerd op MediumWu zegt dat de app ongedocumenteerde Huawei MDM-machtigingen (beheer van mobiele apparaten) gebruikt om te installeren de belangrijkste Google-componenten en apps als systeem-apps - een ongebruikelijke situatie met gevolgen voor het apparaat veiligheid. Bovendien beweert Wu's onderzoek dat de anonieme ontwikkelaar van LZPlay een certificering van Huawei moet hebben ontvangen om deze krachtige machtigingen zonder papieren te gebruiken. In een verklaring aan Android CentralHuawei heeft elke betrokkenheid bij LZPlay ontkend.
Normaal gesproken kunt u geen nieuwe systeem-apps installeren.
De belangrijkste reden waarom je niet zomaar het Google Framework, GMS Core en de andere onderbouwingen van Google's kunt installeren services zoals een normaal APK-bestand is omdat het systeem-apps zijn en speciale machtigingen gebruiken die niet beschikbaar zijn voor gewone mensen apps. Systeem-apps kunnen veel meer controle over uw telefoon hebben dan een app die u zou downloaden uit de Google Play Store. En hoewel systeem-apps kan worden bijgewerkt met nieuwe versies - bijvoorbeeld uit de Play Store - de originelen moeten eerst door de fabrikant van de telefoon op de / systeempartitie worden geladen. Bijgewerkte versies van apps moeten vervolgens worden ondertekend met dezelfde beveiligingssleutel als de originele versie.
De / systeempartitie kan normaal gesproken niet door gebruikers worden gewijzigd, tenzij de telefoon dat is geworteld. Als zodanig kunnen Android-gebruikers normaal gesproken geen nieuwe systeem-apps installeren - wat om veiligheidsredenen een zeer goede zaak is.
Omdat Huawei legaal geen zaken kan doen met Amerikaanse bedrijven, kan het deze apps niet in de fabriek laden. Toch kunnen gebruikers Google-services ook niet rechtstreeks zelf installeren, omdat het systeem-apps zijn. (En aangezien Huawei zijn bootloaders vergrendelt, is rooten ook uitgesloten.)
De oplossing voor de maker (s) van LZPlay is om een krachtige maar ongedocumenteerde subset van Huawei's mobiele apparaat te gebruiken Beheer-API's. MDM-API's geven een enorme hoeveelheid controle over het apparaat en worden vaak door bedrijven gebruikt om te beheren telefoons van het bedrijf.
Twee krachtige machtigingen zonder papieren vormen de kern van LZPlay
De twee ongedocumenteerde MDM-machtigingen die door John Wu zijn ontdekt, zijn:
- com.huawei.permission.sec. MDM_INSTALL_SYS_APP
- com.huawei.permission.sec. MDM_INSTALL_UNDETACHABLE_APP
Met het risico het voor de hand liggende te noemen: de eerste is een toestemming om systeem-apps te installeren en de laatste is een toestemming om een app te installeren die later niet kan worden verwijderd. Beide zijn ongebruikelijk, zelfs in de wereld van MDM, en volgens Wu staan geen van beide momenteel in de officiële documentatie van Huawei.
Maar wacht even - is het niet onmogelijk om nieuwe systeem-apps te installeren?
Wu's onderzoek toont aan dat apps zoals LZPlay apps niet rechtstreeks installeren op de / systeempartitie, die alleen-lezen is, maar dezelfde beschrijfbare opslag als elke andere app. Dankzij de "install system app" MDM-toestemming, "markeert" Android ze vervolgens als systeem-apps, waardoor ze de juiste rechten krijgen om te werken. En dat is wat er gebeurt wanneer LZPlay de kerncomponenten van Google downloadt van... waar het ze ook vandaan haalt.
Zo'n toestemming zonder papieren is zeer ongebruikelijk en, indien misbruikt, mogelijk slecht voor de veiligheid. Gebruikers moeten wel Kiezen om een app Administrator-machtigingen te geven voordat deze kunnen worden beïnvloed. En er zijn andere beveiligingsmaatregelen getroffen, die we binnenkort zullen bespreken, waarbij Huawei optreedt als poortwachter voor al zijn verschillende MDM-machtigingen. Maar, zoals Wu in zijn artikel uitlegt, de originele versies van systeem-apps op dezelfde beschrijfbare opslag opslaan aangezien andere gebruikersapps de mogelijkheid openen om gemakkelijker te knoeien als er een ander beveiligingsprobleem is ontdekt. (Onwaarschijnlijk, maar zeker niet onmogelijk.)
Wu zocht de Chinese documentatie voor Huawei's MDM SDK door voor meer aanwijzingen. Hij zegt dat om een van de MDM-API's te gebruiken, ontwikkelaars overeenkomsten met Huawei moeten ondertekenen, hun gebruik van MDM-machtigingen moeten rechtvaardigen en APK-bestanden ter goedkeuring moeten indienen. Na goedkeuring, zegt Wu, levert Huawei een digitaal certificaat dat nodig is om de machtigingen te laten werken.
Degene die achter LZPlay zit, lijkt wanhopig om anoniem te blijven
En dat maakt de situatie met LZPlay alleen maar vreemder. Het hebben van ongedocumenteerde MDM-machtigingen die nieuwe systeem-apps kunnen installeren is zeker niet normaal, maar tegelijkertijd is het de enige manier waarop gebruikers Google-services kunnen installeren op een telefoon zonder licentie, zonder helemaal het torpederen van de ingebouwde beveiliging van Android. Maar het idee dat de anonieme ontwikkelaar van LZPlay het langdurige MDM API-goedkeuringsproces doorloopt en de zegen van Huawei verkrijgt, is nog bizarder.
Wu beschuldigt Huawei ervan "goed op de hoogte" te zijn van LZPlay en het voortbestaan ervan toe te staan:
Op dit punt is het vrij duidelijk dat Huawei goed op de hoogte is van deze "LZPlay" -app, en uitdrukkelijk staat zijn bestaan toe. De ontwikkelaar van deze app moet op de een of andere manier op de hoogte zijn van deze niet-gedocumenteerde API's, de juridische overeenkomsten ondertekenen, verschillende fasen van beoordelingen doorlopen en uiteindelijk de app laten ondertekenen door Huawei. Het enige doel van de app is om Google Services te installeren op een apparaat zonder licentie, en het klinkt erg vaag voor mij, maar ik ben geen advocaat, dus ik heb absoluut geen idee van de legaliteit ervan.
Huawei heeft echter elke betrokkenheid bij de app of de site ontkend. In een verklaring aan Android Central, zei een woordvoerder van Huawei:
De nieuwste Mate 30-serie van Huawei is niet voorgeïnstalleerd met GMS, en Huawei is niet betrokken geweest bij www.lzplay.net
De mogelijke juridische schets waarnaar Wu verwijst, is misschien waarom het onmogelijk is om de oorsprong van LZPlay te achterhalen. De gebruikersinterface van de app biedt geen informatie over de auteur (s). De WHOIS-informatie voor het domein verwijst alleen naar de in China gevestigde cloudserviceafdeling van Alibaba, waarbij het IP-bereik van de servers waarop het wordt gehost eigendom is van hetzelfde bedrijf. Bovendien zijn er geen aanwijzingen te vinden op de website met één pagina zelf, noch in de HTML-, CSS- of Javascript-broncode van die pagina. De vroegste verwijzingen ernaar die we online konden vinden, waren in communityposts op het Huawei Club forum rond half juli, maar biedt nog steeds geen informatie over de oorsprong.
En Wu zegt dat het APK-bestand zelf eveneens ondoorzichtig is:
De "LZPay" (sic) app is versluierd / versleuteld door QiHoo Jiagu (奇 虎 加固), en is niet triviaal voor reverse engineering.
(Ed. Opmerking: QiHoo Jiagu is een in China gevestigd bedrijf dat gespecialiseerd is in beveiliging van mobiele apps)
Iemand heeft geld betaald om deze app te maken, kon hem op de een of andere manier laten certificeren, ging toen op pad om zijn professioneel ogende website te ontwerpen en de bestanden te hosten, maar wil toch geen krediet. Het lijkt er zelfs op dat ze hun best hebben gedaan om volledig anoniem te blijven.
Wu's oorspronkelijke onderzoek is het lezen waard als u overweegt om de LZPlay-methode te gebruiken om Google-apps op een Huawei-telefoon te installeren. (Of als je gewoon de gekke wetenschap van software engineering wilt waarderen die nodig is om dit alles te laten werken.) Tussen de anonimiteit van de app en de kracht van de machtigingen die het gebruikt, is het zeker de moeite waard om LZPlay te bekijken met een kritische oog.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
Beveilig je huis met deze SmartThings deurbellen en sloten.
Een van de beste dingen van SmartThings is dat u een hele reeks andere apparaten van derden op uw systeem kunt gebruiken, inclusief deurbellen en sloten. Omdat ze in wezen allemaal dezelfde SmartThings-ondersteuning delen, hebben we ons gefocust op welke apparaten de beste specificaties en trucs hebben om ze toe te voegen aan je SmartThings-arsenaal.