Оно што треба да знате
- Истраживач безбедности Јохн Ву пронашао је АПИ-је без докумената који омогућавају апликацијама са администраторским привилегијама да инсталирају нове системске апликације на Мате 30.
- Апликација „ЛЗПлаи“ дозволе користи за инсталирање Гоогле оквира и услуга, али Ву каже да су оне и безбедносни ризик.
- Хуавеи каже да се Мате 30 не испоручује са ГМС-ом и да нема „никакве везе“ са ЛЗПлаи-ом.
Убрзо након објављивања овог ажурирања, веб локација ЛЗПлаи је уклоњена и апликација више не ради. Уређаји Мате 30 са Гоогле апликацијама инсталираним из ЛЗПлаи више не пролазе Гоогле-ов ЦТС (пакет за тестирање компатибилности) за ствари попут подршке за ДРМ и Гоогле Паи.
Мате 30 Про је први Хуавеи водећи модел који је лансиран откако је кинеска компанија додата на Ентитетску листу америчке владе, што значи да не може да се испоручује са Гоогле апликацијама и услугама. Убрзо након покретања, апликација „Гоогле Сервице Ассистант“ (ака ЛЗПлаи, са УРЛ адресе веб локације) постала добро позната
као једноставан начин за враћање Гоогле услуга на Мате 30. Ипак, тачно како је то функционисало није било познато док програмер и стручњак за Андроид сигурност Јохн Ву није запео у свом унутрашњем деловању.Веризон нуди Пикел 4а за само 10 УСД месечно на новим Неограниченим линијама
У делу објављеном данас Средње, Ву каже да апликација користи недокументоване дозволе Хуавеи МДМ (управљање мобилним уређајима) да би се инсталирала кључне Гооглеове компоненте и апликације као системске апликације - необична ситуација са импликацијама на уређај сигурност. Штавише, Ву-ово истраживање тврди да би анонимни програмер ЛЗПлаи, да би користио ове моћне недокументиране дозволе, морао да добије сертификат од Хуавеи-а. У изјави за Андроид Централ, Хуавеи је порекао било какву умешаност у ЛЗПлаи.
Обично не можете да инсталирате нове системске апликације.
Главни разлог што не можете једноставно да инсталирате Гоогле Фрамеворк, ГМС Цоре и остале Гооглеове основе услуге попут уобичајене АПК датотеке су зато што су системске апликације и користе посебне дозволе које нису уобичајене апликације. Системске апликације могу имати много већу контролу над телефоном од апликације коју бисте преузели из Гоогле Плаи продавнице. И мада системске апликације моћи бити ажуриран новим верзијама - на пример из Плаи продавнице - произвођач телефона прво мора да учита оригинале на / системску партицију. Тада ажуриране верзије апликација морају бити потписане истим безбедносним кључем као и оригинална верзија.
Корисници / системску партицију обично не могу променити ако то није телефон укорењен. Као такви, Андроид корисници обично не могу да инсталирају нове системске апликације - што је из безбедносних разлога врло добра ствар.
Будући да Хуавеи не може легално да послује са америчким компанијама, ове апликације не може да учитава у фабрици. Па ипак, корисници такође не могу сами директно да инсталирају Гоогле услуге, јер су системске апликације. (А пошто Хуавеи закључава своје покретачке програме, рутирање такође не долази у обзир.)
Решење је за творце ЛЗПлаи-а да користе моћан, али недокументован подскуп Хуавеијевих мобилних уређаја АПИ-ји за управљање. МДМ АПИ-ји пружају огромну контролу над уређајем, а предузећа их често користе за управљање телефони у власништву компаније.
Две моћне дозволе без докумената леже у срцу ЛЗПлаи-а
Две недокументоване МДМ дозволе које је открио Јохн Ву су:
- цом.хуавеи.пермиссион.сец. МДМ_ИНСТАЛЛ_СИС_АПП
- цом.хуавеи.пермиссион.сец. МДМ_ИНСТАЛЛ_УНДЕТАЦХАБЛЕ_АПП
Ризиком да наведемо очигледно: прва је дозвола за инсталирање системских апликација, а друга је дозвола за инсталирање апликације која се не може накнадно деинсталирати. Обоје су необични чак и у свету МДМ-а, а према речима Ву-а, ниједно од њих тренутно није у службеној документацији компаније Хуавеи.
Али сачекајте тренутак - зар није немогуће инсталирати нове системске апликације?
Ву-ово истраживање показује да апликације попут ЛЗПлаи не инсталирају апликације директно на / системску партицију која је само за читање, али исто складиште као и било која друга апликација. Захваљујући МДМ дозволи за „инсталацију системске апликације“, Андроид их тада „означава“ као системске апликације, дајући им тачне дозволе за рад. И то се дешава када ЛЗПлаи преузима Гоогле-ове основне компоненте са... одакле год их тргне.
Таква дозвола без докумената је врло необична и, ако се злоупотреби, потенцијално је лоша за безбедност. Корисници, међутим, морају изабрати да дају дозволе администратору апликације пре него што на њих то може утицати. Постоје и друге мере безбедности, на које ћемо ускоро доћи, а Хуавеи ће деловати као чувар врата за све своје разне МДМ дозволе. Ипак, као што Ву објашњава у свом чланку, чување оригиналних верзија системских апликација на истом меморијском простору као и друге корисничке апликације отварају могућност лакшег неовлашћеног коришћења ако постоји нека друга сигурносна рањивост открио. (Мало вероватно, али сигурно није немогуће.)
Ву је прочешљао кинеску документацију за Хуавеијев МДМ СДК за још трагова. Каже да да би користили било који МДМ АПИ, програмери треба да потпишу уговоре са Хуавеи-јем, оправдају употребу МДМ дозвола и предају АПК датотеке на одобрење. Када одобри, каже Ву, Хуавеи пружа дигитални сертификат неопходан за рад дозвола.
Ко год стоји иза ЛЗПлаи-а, чини се да очајнички жели да остане анониман
А то само чини ситуацију са ЛЗПлаи-ом још чуднијом. Поседовање недокументираних МДМ дозвола које могу инсталирати нове системске апликације сигурно није нормално, али истовремено је то једини начин на који су корисници могли да инсталирају Гоогле услуге на нелиценцирани телефон, без у потпуности торпедирајући уграђену сигурност Андроид-а. Ипак, идеја да анонимни програмер ЛЗПлаи-а прође дуготрајан поступак одобравања МДМ АПИ-ја и стекне Хуавеијев благослов још је бизарнија.
Ву оптужује Хуавеи да је „добро свестан“ ЛЗПлаи-а и да дозвољава његово даље постојање:
У овом тренутку је прилично очигледно да је Хуавеи добро упознат са овом апликацијом „ЛЗПлаи“ и експлицитно дозвољава његово постојање. Програмер ове апликације мора некако бити свестан ових АПИ-ја без докумената, потписати законске споразуме, проћи кроз неколико фаза прегледа и на крају дати да апликација потпише Хуавеи. Једина сврха апликације је да инсталира Гоогле услуге на нелиценцирани уређај и звучи ми врло шарено, али ја нисам правник па апсолутно немам представу о њеној легалности.
Међутим, Хуавеи је негирао било какву умешаност у апликацију или веб локацију. У изјави за Андроид Централ, портпарол Хуавеи-а је рекао:
Хуавеијева најновија серија Мате 30 није унапред инсталирана са ГМС-ом, а Хуавеи није имао везе са ввв.лзплаи.нет
Потенцијална правна скица на коју се Ву позива је можда разлог зашто је немогуће пронаћи порекло ЛЗПлаи-а. Кориснички интерфејс апликације не нуди информације о ауторима. ВХОИС информације за домен само се односе на Алибабино одељење за услуге у облаку са седиштем у Кини, са ИП опсегом сервера на којима је домаћин у власништву исте компаније. Штавише, не постоје трагови на самој веб страници са једном страницом, као ни у ХТМЛ, ЦСС или Јавасцрипт изворном коду те странице. Најраније референце на то које смо успели да пронађемо на мрежи биле су у постовима заједнице на Хуавеи Цлуб форум око средине јула, и даље не нуди информације о његовом пореклу.
И Ву каже да је и сама АПК датотека слично непрозирна:
Апликација „ЛЗПаи“ (сиц) је замућена / шифрована од стране КиХоо Јиагу (奇 虎 加固) и није тривијална за обрнути инжењеринг.
(Напомена уредника: КиХоо Јиагу је кинеска фирма специјализована за сигурност мобилних апликација)
Неко је платио новац за стварање ове апликације, некако је успео да је цертифицира, а затим се разиграо за дизајн веб странице професионалног изгледа и хостовање њених датотека, а притом не жели кредит. У ствари, чини се да су се потрудили да остану потпуно анонимни.
Вуово оригинално истраживање вреди прочитати ако размишљате о коришћењу методе ЛЗПлаи за инсталирање Гоогле апликација на Хуавеи телефон. (Или ако само желите да цените луду науку софтверског инжењерства која је потребна да би све ово успело.) Између анонимност апликације и моћ дозвола које користи, дефинитивно вреди сагледати ЛЗПлаи са критичним око.
Ово су најбоље бежичне слушалице које можете купити по свакој цени!
Најбоље бежичне слушалице су удобне, звуче сјајно, не коштају превише и лако се ставе у џеп.
Све што треба да знате о ПС5: Датум изласка, цена и још много тога.
Сони је званично потврдио да ради на ПлаиСтатион 5. Ево свега што до сада знамо о томе.
Нокиа лансира два нова буџетска Андроид Оне телефона испод 200 долара.
Нокиа 2.4 и Нокиа 3.4 су најновији додаци буџетској линији паметних телефона компаније ХМД Глобал. С обзиром да су оба Андроид Оне уређаја, гарантовано ће добити две главне исправке ОС-а и редовна безбедносна ажурирања до три године.
Осигурајте свој дом овим СмартТхингс звонима и бравама.
Једна од најбољих ствари код СмартТхингс-а је та што можете да користите мноштво других независних уређаја на свом систему, укључујући звона на вратима и браве. Будући да сви они у основи деле исту подршку за СмартТхингс, усредсредили смо се на то који уређаји имају најбоље спецификације и трикове како би оправдали њихово додавање у ваш СмартТхингс арсенал.