O que você precisa saber
- O pesquisador de segurança John Wu encontrou APIs não documentadas que permitem que aplicativos com privilégios de administrador instalem novos aplicativos de sistema no Mate 30.
- As permissões são usadas pelo aplicativo "LZPlay" para instalar o framework e os serviços do Google, mas Wu diz que também são um risco à segurança.
- A Huawei diz que o Mate 30 não vem com GMS e que "não tem envolvimento" com LZPlay.
Logo após a publicação dessa atualização, o site LZPlay foi retirado do ar e o aplicativo não funciona mais. Combinar 30 dispositivos com aplicativos do Google instalados a partir do LZPlay não passam mais no CTS (pacote de testes de compatibilidade) do Google para coisas como suporte para DRM e Google Pay.
O Mate 30 Pro é o primeiro carro-chefe da Huawei a ser lançado desde que a empresa chinesa foi adicionada à Lista de Entidades do governo dos EUA, o que significa que não pode ser fornecido com aplicativos e serviços do Google. Logo após o lançamento, o aplicativo "Google Service Assistant" (também conhecido como LZPlay, do URL do site)
tornou-se bem conhecido como uma maneira simples de restaurar os serviços do Google para o Mate 30. No entanto, não se sabia exatamente como funcionava até que o desenvolvedor e especialista em segurança do Android John Wu se intrometeu em seu funcionamento interno.A Verizon está oferecendo o Pixel 4a por apenas US $ 10 / mês nas novas linhas Unlimited
Em artigo publicado hoje em Médio, Wu diz que o aplicativo usa permissões não documentadas Huawei MDM (gerenciamento de dispositivos móveis) para instalar os principais componentes e aplicativos do Google como aplicativos do sistema - uma situação incomum com implicações para o dispositivo segurança. Além do mais, a pesquisa de Wu afirma que, para usar essas poderosas permissões não documentadas, o desenvolvedor anônimo do LZPlay precisaria ter recebido a certificação da Huawei. Em uma declaração para Android Central, Huawei negou qualquer envolvimento com a LZPlay.
Normalmente, você não pode instalar novos aplicativos do sistema.
A principal razão pela qual você não pode simplesmente instalar o Google Framework, GMS Core e outros fundamentos do Google serviços como um arquivo APK normal é porque eles são aplicativos do sistema e usam permissões especiais não disponíveis para aplicativos. Os aplicativos do sistema podem ter muito mais controle sobre o seu telefone do que um aplicativo que você baixou da Google Play Store. E embora aplicativos de sistema pode ser atualizado com novas versões - por exemplo, da Play Store - os originais devem primeiro ser carregados na partição / sistema pelo fabricante do telefone. As versões atualizadas dos aplicativos devem ser assinadas com a mesma chave de segurança da versão original.
A partição / sistema normalmente não pode ser alterada pelos usuários, a menos que o telefone seja enraizado. Como tal, os usuários do Android normalmente não podem instalar novos aplicativos do sistema - o que, por razões de segurança, é uma coisa muito boa.
Como a Huawei não pode fazer negócios legalmente com empresas dos EUA, não pode carregar esses aplicativos na fábrica. No entanto, os usuários também não podem instalar os serviços do Google diretamente por si próprios, porque são aplicativos do sistema. (E como a Huawei bloqueia seus bootloaders, o root também está fora de questão.)
A solução, para o (s) criador (es) do LZPlay, é usar um subconjunto poderoso, mas não documentado, do Dispositivo Móvel da Huawei APIs de gerenciamento. APIs de MDM fornecem uma grande quantidade de controle sobre o dispositivo e são frequentemente usadas por empresas para gerenciar telefones da empresa.
Duas poderosas permissões não documentadas estão no cerne do LZPlay
As duas permissões MDM não documentadas descobertas por John Wu são:
- com.huawei.permission.sec. MDM_INSTALL_SYS_APP
- com.huawei.permission.sec. MDM_INSTALL_UNDETACHABLE_APP
Correndo o risco de afirmar o óbvio: a primeira é uma permissão para instalar aplicativos do sistema e a última é uma permissão para instalar um aplicativo que não pode ser desinstalado posteriormente. Ambos são incomuns mesmo no mundo do MDM e, de acordo com Wu, nenhum deles consta atualmente da documentação oficial da Huawei.
Mas espere um minuto - não é impossível instalar novos aplicativos do sistema?
A pesquisa de Wu mostra que aplicativos como o LZPlay não instalam aplicativos diretamente na partição / system, que é somente leitura, mas tem o mesmo armazenamento gravável que qualquer outro aplicativo. Graças à permissão MDM "instalar aplicativo do sistema", o Android então os "sinaliza" como sendo aplicativos do sistema, concedendo-lhes as permissões corretas para funcionar. E é isso que acontece quando o LZPlay baixa os componentes principais do Google de... de onde quer que os arranca.
Essa permissão não documentada é muito incomum e, se abusada, potencialmente ruim para a segurança. Os usuários, no entanto, precisam escolher para conceder permissões de administrador de aplicativo antes que ele seja afetado. E há outras medidas de segurança em vigor, das quais falaremos em breve, com a Huawei atuando como guardiã de todas as suas várias permissões de MDM. No entanto, como Wu explica em seu artigo, armazenar as versões originais de aplicativos do sistema no mesmo armazenamento gravável como outros aplicativos de usuário abrem a possibilidade de violação mais fácil se alguma outra vulnerabilidade de segurança for descoberto. (Improvável, mas certamente não impossível.)
Wu vasculhou a documentação chinesa do MDM SDK da Huawei em busca de mais pistas. Ele diz que para usar qualquer uma das APIs de MDM, os desenvolvedores precisam assinar acordos com a Huawei, justificar o uso de permissões de MDM e enviar arquivos APK para aprovação. Depois de aprovado, diz Wu, a Huawei fornece um certificado digital necessário para que as permissões funcionem.
Quem quer que esteja por trás do LZPlay parece desesperado para permanecer anônimo
E isso só torna a situação com o LZPlay ainda mais estranha. Ter permissões de MDM não documentadas que podem instalar novos aplicativos do sistema certamente não é normal, mas ao mesmo tempo, é a única maneira de os usuários instalarem os serviços do Google em um telefone não licenciado, sem completamente torpedeando a segurança interna do Android. No entanto, a ideia do desenvolvedor anônimo do LZPlay passar pelo longo processo de aprovação da API MDM e obter a aprovação da Huawei é ainda mais bizarra.
Wu acusa a Huawei de estar "bem ciente" do LZPlay e de permitir sua existência contínua:
Neste ponto, é bastante óbvio que a Huawei está bem ciente desse aplicativo "LZPlay" e explicitamente permite sua existência. O desenvolvedor deste aplicativo precisa de alguma forma estar ciente dessas APIs não documentadas, assinar os acordos legais, passar por vários estágios de análises e, eventualmente, ter o aplicativo assinado pela Huawei. O único objetivo do aplicativo é instalar o Google Services em um dispositivo não licenciado, e parece muito vago para mim, mas não sou advogado, então não tenho absolutamente nenhuma ideia de sua legalidade.
No entanto, a Huawei negou qualquer envolvimento com o aplicativo ou site. Em uma declaração para Android Central, um porta-voz da Huawei disse:
A última série Mate 30 da Huawei não vem pré-instalada com GMS e a Huawei não teve envolvimento com www.lzplay.net
A possível lacuna legal a que Wu se refere talvez seja o motivo pelo qual é impossível rastrear as origens do LZPlay. A IU do aplicativo não oferece informações sobre o (s) autor (es). As informações WHOIS para o domínio referem-se apenas à divisão de serviços em nuvem do Alibaba com base na China, com a faixa de IP dos servidores hospedados em propriedade da mesma empresa. Além do mais, não há pistas a serem encontradas no próprio site de página única, nem no código-fonte HTML, CSS ou Javascript dessa página. As primeiras referências a ele que conseguimos encontrar online estavam em postagens da comunidade no Huawei Club fórum em meados de julho, ainda sem informações sobre suas origens.
E Wu diz que o próprio arquivo APK é igualmente opaco:
O aplicativo "LZPay" (sic) é ofuscado / criptografado por QiHoo Jiagu (奇 虎 加固) e não é trivial para a engenharia reversa.
(Nota do editor: QiHoo Jiagu é uma empresa com sede na China especializada em segurança de aplicativos móveis)
Alguém pagou para criar este aplicativo, de alguma forma conseguiu certificá-lo e, em seguida, pagou para projetar seu site de aparência profissional e hospedar seus arquivos, mas não quer crédito. Na verdade, parece que eles se esforçaram para permanecer completamente anônimos.
Pesquisa original de Wu vale a pena ler se você estiver pensando em usar o método LZPlay para instalar aplicativos do Google em um telefone Huawei. (Ou se você apenas deseja apreciar a ciência maluca da engenharia de software necessária para fazer todo esse trabalho.) o anonimato do aplicativo e o poder das permissões que ele usa, definitivamente vale a pena olhar para LZPlay com um olho.
Estes são os melhores fones de ouvido sem fio que você pode comprar a qualquer preço!
Os melhores fones de ouvido sem fio são confortáveis, têm um som ótimo, não custam muito e cabem facilmente no bolso.
Tudo o que você precisa saber sobre o PS5: data de lançamento, preço e muito mais.
A Sony confirmou oficialmente que está trabalhando no PlayStation 5. Aqui está tudo o que sabemos sobre isso até agora.
A Nokia lança dois novos telefones Android One de baixo custo abaixo de US $ 200.
Nokia 2.4 e Nokia 3.4 são as mais recentes adições à linha de smartphones baratos da HMD Global. Como ambos são dispositivos Android One, eles têm a garantia de receber duas atualizações importantes do sistema operacional e atualizações regulares de segurança por até três anos.
Proteja sua casa com essas campainhas e fechaduras SmartThings.
Uma das melhores coisas sobre o SmartThings é que você pode usar uma série de outros dispositivos de terceiros em seu sistema, incluindo campainhas e fechaduras. Como todos eles basicamente compartilham o mesmo suporte SmartThings, nos concentramos em quais dispositivos têm as melhores especificações e truques para justificar adicioná-los ao seu arsenal SmartThings.