Hva du trenger å vite
- Sikkerhetsforsker John Wu har funnet udokumenterte API-er som lar apper med administratorrettigheter installere nye systemapper på Mate 30.
- Tillatelsene brukes av "LZPlay" -appen for å installere Googles rammeverk og tjenester, men Wu sier at de også er en sikkerhetsrisiko.
- Huawei sier at Mate 30 ikke leveres med GMS, og at den ikke har "noe involvering" med LZPlay.
Kort tid etter at denne oppdateringen ble publisert, ble nettstedet LZPlay fjernet, og appen fungerer ikke lenger. Mate 30-enheter med Google-apper installert fra LZPlay passerer ikke lenger Googles CTS (kompatibilitetstestpakke) for ting som DRM og Google Pay-støtte.
Mate 30 Pro er det første Huawei-flaggskipet som lanseres siden det kinesiske selskapet ble lagt til den amerikanske regjeringens enhetsliste, noe som betyr at det ikke kan sendes med Google-apper og -tjenester. Kort tid etter lanseringen, "Google Service Assistant" -appen (aka LZPlay, fra nettadressen til nettstedet) ble kjent som en enkel måte å gjenopprette Google-tjenester til Mate 30. Likevel, nøyaktig hvordan det fungerte, var ikke kjent før utvikler og Android-sikkerhetsekspert John Wu ble sittende fast i sin indre funksjon.
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
I et stykke publisert i dag Medium, Sier Wu at appen bruker papirløse Huawei MDM-tillatelser (mobile device management) for å installere de viktigste Google-komponentene og appene som systemapper - en uvanlig situasjon med implikasjoner for enheten sikkerhet. I tillegg hevder Wus forskning at for å kunne bruke disse kraftige papirløse tillatelsene, må den anonyme utvikleren av LZPlay ha mottatt sertifisering fra Huawei. I en uttalelse til Android Central, Huawei har nektet for involvering med LZPlay.
Normalt kan du ikke installere nye systemapper.
Hovedårsaken til at du ikke bare kan installere Google Framework, GMS Core og de andre underlagene til Google tjenester som en vanlig APK-fil er fordi de er systemapper, og bruker spesielle tillatelser som ikke er tilgjengelige for vanlig apper. Systemapper kan ha mye mer kontroll over telefonen din enn en app du laster ned fra Google Play Store. Og selv om systemapper kan oppdateres med nye versjoner - for eksempel fra Play Store - originalene må først lastes på / systempartisjonen av telefonprodusenten. Oppdaterte versjoner av apper må deretter signeres med samme sikkerhetsnøkkel som originalversjonen.
/ Systempartisjonen kan normalt ikke endres av brukere med mindre telefonen er det rotfestet. Som sådan kan Android-brukere normalt ikke installere nye systemapper - noe som av sikkerhetsgrunner er veldig bra.
Siden Huawei ikke lovlig kan gjøre forretninger med amerikanske selskaper, kan det ikke laste disse appene fra fabrikken. Likevel kan ikke brukere heller direkte installere Google-tjenester alene, fordi de er systemapper. (Og siden Huawei låser opp bootloaders, er det også umulig å rote.)
Løsningen, for skaperen (e) av LZPlay, er å bruke et kraftig, men papirløst delsett av Huaweis mobile enhet Administrasjons-API-er. MDM API-er gir enorm kontroll over enheten, og brukes ofte av bedrifter til å administrere selskapseide telefoner.
To kraftige, udokumenterte tillatelser ligger i hjertet av LZPlay
De to udokumenterte MDM-tillatelsene oppdaget av John Wu er:
- com.huawei.permission.sec. MDM_INSTALL_SYS_APP
- com.huawei.permission.sec. MDM_INSTALL_UNDETACHABLE_APP
Med fare for å si det åpenbare: Førstnevnte er tillatelse til å installere systemapper, og sistnevnte er tillatelse til å installere en app som ikke senere kan avinstalleres. Begge er uvanlige selv i MDM-verdenen, og ifølge Wu er det foreløpig ingen av funksjonene i Huaweis offisielle dokumentasjon.
Men vent litt - er det ikke umulig å installere nye systemapper?
Wus forskning viser at apper som LZPlay ikke installerer apper direkte til / systempartisjonen, som er skrivebeskyttet, men den samme skrivbare lagringen som alle andre apper. Takket være MDM-tillatelsen "install system app", "flagger" Android dem som systemapper, og gir dem de riktige tillatelsene til å fungere. Og det er det som skjer når LZPlay laster ned Googles kjernekomponenter fra... uansett hvor det ryker dem fra.
En slik udokumentert tillatelse er veldig uvanlig og, hvis misbrukt, potensielt dårlig for sikkerheten. Brukerne må imidlertid velge å gi en app administratorrettigheter før de kan bli berørt. Og det er andre sikkerhetstiltak på plass, som vi snart kommer til, med Huawei som en portvakt for alle dens forskjellige MDM-tillatelser. Likevel, som Wu forklarer i sin artikkel, lagrer de originale versjonene av systemappene på samme skrivbare lagring som andre brukerapper åpner muligheten for enklere manipulering hvis noe annet sikkerhetsproblem er oppdaget. (Usannsynlig, men absolutt ikke umulig.)
Wu kjemmet gjennom den kinesiske dokumentasjonen for Huaweis MDM SDK for flere ledetråder. Han sier at for å kunne bruke noen av MDM API-ene, må utviklere signere avtaler med Huawei, rettferdiggjøre deres bruk av MDM-tillatelser og sende APK-filer for godkjenning. Når Wu er godkjent, gir Huawei et digitalt sertifikat som er nødvendig for at tillatelsene skal fungere.
Den som står bak LZPlay virker desperat etter å være anonym
Og det gjør situasjonen med LZPlay bare mer merkelig. Å ha udokumenterte MDM-tillatelser som kan installere nye systemapper er absolutt ikke normalt, men samtidig er det den eneste måten brukere kunne installere Google-tjenester på en ulisensiert telefon, uten helt torpederer Androids innebygde sikkerhet. Likevel er ideen om den anonyme utvikleren av LZPlay gjennom den lange MDM API-godkjenningsprosessen og å få Huaweis velsignelse enda mer bisarr.
Wu beskylder Huawei for å være "godt klar over" LZPlay, og for å tillate dets fortsatte eksistens:
På dette punktet er det ganske åpenbart at Huawei er godt kjent med denne "LZPlay" -appen, og eksplisitt tillater dets eksistens. Utvikleren av denne appen må på en eller annen måte være klar over disse papirløse API-ene, signere juridiske avtaler, gjennomgå flere trinn med anmeldelser og til slutt få appen signert av Huawei. Det eneste formålet med appen er å installere Google Services på en ikke-lisensiert enhet, og det høres veldig sketchy ut for meg, men jeg er ingen advokat, så jeg har absolutt ingen anelse om lovligheten.
Huawei har imidlertid nektet for involvering i appen eller nettstedet. I en uttalelse til Android Central, sa en talsperson fra Huawei:
Huaweis nyeste Mate 30-serie er ikke forhåndsinstallert med GMS, og Huawei har ikke vært involvert i www.lzplay.net
Den potensielle juridiske sketchinessen Wu refererer til, er kanskje hvorfor det er umulig å spore opprinnelsen til LZPlay. Appens brukergrensesnitt gir ingen informasjon om forfatteren (e). WHOIS-informasjonen for domenet refererer bare til Alibabas Kina-baserte divisjoner med skytjenester, med IP-serien til serverne den eies av samme selskap. Dessuten er det ingen ledetråder å finne på selve hjemmesiden, og heller ikke i kildekoden HTML, CSS eller Javascript på den siden. De tidligste referansene til det vi kunne finne på nettet, var i fellesskapsinnlegg på Huawei Club forum rundt midten av juli, og tilbyr fremdeles ingen informasjon om opprinnelsen.
Og Wu sier at APK-filen i seg selv er på samme måte ugjennomsiktig:
"LZPay" (sic) -appen er tilstoppet / kryptert av QiHoo Jiagu (奇 虎 加固), og er ikke triviell å reversere.
(Red. Anm.: QiHoo Jiagu er et Kina-basert firma som spesialiserer seg på mobilappsikkerhet)
Noen betalte penger for å lage denne appen, var på en eller annen måte i stand til å få den sertifisert, og gikk deretter ut for å designe det profesjonelle nettstedet og være vert for filene, og ønsker likevel ingen kreditt. Faktisk ser det ut til at de har gått ut av deres måte å være helt anonyme.
Wus originale forskning er vel verdt å lese hvis du vurderer å bruke LZPlay-metoden for å installere Google-apper på en Huawei-telefon. (Eller hvis du bare vil sette pris på programvareteknologien som er nødvendig for å få alt dette til å fungere.) Mellom Appens anonymitet og kraften til tillatelsene den bruker, er det absolutt verdt å se på LZPlay med en kritisk øye.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse ørepluggene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett for smarttelefoner. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Sikre hjemmet ditt med disse SmartThings-dørklokkene og låser.
En av de beste tingene med SmartThings er at du kan bruke en rekke andre tredjepartsenheter på systemet ditt, inkludert dørklokker og låser. Siden de i det vesentlige deler den samme SmartThings-støtten, har vi fokusert på hvilke enheter som har de beste spesifikasjonene og triksene for å rettferdiggjøre å legge dem til SmartThings-arsenalet ditt.