Vad du behöver veta
- Säkerhetsforskare John Wu har hittat odokumenterade API: er som låter appar med administratörsbehörighet installera nya systemappar på Mate 30.
- Behörigheterna används av appen "LZPlay" för att installera Googles ramverk och tjänster, men Wu säger att de också är en säkerhetsrisk.
- Huawei säger att Mate 30 inte levereras med GMS, och att den inte har "inget engagemang" med LZPlay.
Strax efter det att denna uppdatering publicerades togs LZPlay-webbplatsen ner och appen fungerar inte längre. Mate 30-enheter med Google-appar installerade från LZPlay klarar inte längre Googles CTS (kompatibilitetstestpaket) för saker som DRM och Google Pay-support.
Mate 30 Pro är det första Huawei-flaggskeppet som lanseras sedan det kinesiska företaget lades till den amerikanska regeringens enhetslista, vilket innebär att det inte går att leverera med Googles appar och tjänster. Strax efter lanseringen, "Google Service Assistant" -appen (aka LZPlay, från dess webbadress) blev känd som ett enkelt sätt att återställa Googles tjänster till Mate 30. Men exakt hur det fungerade kändes inte förrän utvecklaren och Android-säkerhetsexperten John Wu fastnade i sin inre funktion.
Verizon erbjuder Pixel 4a för bara $ 10 / månad på nya obegränsade linjer
I ett stycke publicerat idag Medium, Säger Wu att appen använder odokumenterade Huawei MDM-behörigheter (hantering av mobila enheter) för att installera de viktigaste Google-komponenterna och apparna som systemappar - en ovanlig situation med konsekvenser för enheten säkerhet. Dessutom hävdar Wus forskning att för att kunna använda dessa kraftfulla papperslösa behörigheter måste den anonyma utvecklaren av LZPlay ha fått certifiering från Huawei. I ett uttalande till Android Central, Huawei har förnekat någon inblandning i LZPlay.
Normalt kan du inte installera nya systemappar.
Den främsta anledningen till att du inte bara kan installera Google Framework, GMS Core och andra underlag för Googles tjänster som en vanlig APK-fil beror på att de är systemappar och använder speciella behörigheter som inte är vanliga appar. Systemappar kan ha mycket mer kontroll över din telefon än en app som du laddar ner från Google Play Butik. Och även om systemappar burk uppdateras med nya versioner - till exempel från Play Store - originalen måste först laddas på / systempartitionen av telefonens tillverkare. Uppdaterade versioner av appar måste sedan signeras med samma säkerhetsnyckel som originalversionen.
/ Systempartitionen kan normalt inte ändras av användare om inte telefonen är det rotad. Som sådan kan Android-användare normalt inte installera nya systemappar - vilket av säkerhetsskäl är mycket bra.
Eftersom Huawei inte lagligen kan göra affärer med amerikanska företag kan det inte ladda dessa appar på fabriken. Ändå kan användarna inte heller direkt installera Google-tjänster själva, eftersom de är systemappar. (Och eftersom Huawei låser sina startladdare är det inte heller fråga om rooting.)
Lösningen för skaparen av LZPlay är att använda en kraftfull men odokumenterad delmängd av Huaweis mobila enhet Management API: er. MDM API: er ger enorm kontroll över enheten och används ofta av företag för att hantera företagsägda telefoner.
Två kraftfulla, papperslösa behörigheter ligger i hjärtat av LZPlay
De två odokumenterade MDM-behörigheterna som John Wu upptäckte är:
- com.huawei.permission.sec. MDM_INSTALL_SYS_APP
- com.huawei.permission.sec. MDM_INSTALL_UNDETACHABLE_APP
Med risk för att säga det uppenbara: Den förra är ett tillstånd att installera systemappar, och det senare är ett tillstånd att installera en app som inte senare kan avinstalleras. Båda är ovanliga även i MDM-världen, och enligt Wu finns det varken för närvarande i Huaweis officiella dokumentation.
Men vänta en stund - är det inte omöjligt att installera nya systemappar?
Wus forskning visar att appar som LZPlay inte installerar appar direkt till / systempartitionen, som är skrivskyddad, utan samma skrivbara lagring som alla andra appar. Tack vare MDM-behörigheten "installera systemappen" "flaggar" Android dem sedan som systemappar, vilket ger dem rätt behörighet att arbeta. Och det är vad som händer när LZPlay laddar ner Googles kärnkomponenter från... varhelst det ryckar dem ifrån.
Ett sådant odokumenterat tillstånd är mycket ovanligt och, om det missbrukas, potentiellt dåligt för säkerheten. Användare måste dock välja att ge en app administratörsbehörighet innan de kan påverkas. Och det finns andra säkerhetsåtgärder på plats, som vi snart kommer till, med Huawei som en portvakt för alla dess olika MDM-behörigheter. Ändå, som Wu förklarar i sin artikel, lagrar de ursprungliga versionerna av systemapparna på samma skrivbara lagring som andra användarappar öppnar möjligheten för enklare manipulering om någon annan säkerhetsproblem är upptäckt. (Osannolikt, men absolut inte omöjligt.)
Wu kammade igenom den kinesiska dokumentationen för Huaweis MDM SDK för fler ledtrådar. Han säger att för att kunna använda något av MDM API: er måste utvecklare underteckna avtal med Huawei, motivera deras användning av MDM-behörigheter och skicka APK-filer för godkännande. En gång godkänd, säger Wu, ger Huawei ett digitalt certifikat som krävs för att behörigheterna ska fungera.
Den som står bakom LZPlay verkar desperat att vara anonym
Och det gör bara situationen med LZPlay desto mer konstig. Att ha odokumenterad MDM-behörighet som kan installera nya systemappar är verkligen inte normalt, men samtidigt är det det enda sättet som användare kan installera Google-tjänster på en olicensierad telefon, utan helt och hållet torpeder Android: s inbyggda säkerhet. Ändå är idén om den anonyma utvecklaren av LZPlay att gå igenom den långa MDM API-godkännandeprocessen och få Huaweis välsignelse ännu mer bisarr.
Wu anklagar Huawei för att vara "väl medveten" om LZPlay och för att tillåta dess fortsatta existens:
Vid denna tidpunkt är det ganska uppenbart att Huawei är väl medveten om denna "LZPlay" -app och uttryckligen tillåter dess existens. Utvecklaren av den här appen måste på något sätt vara medveten om dessa odokumenterade API: er, underteckna de lagliga avtalen, gå igenom flera steg i granskningar och så småningom få appen undertecknad av Huawei. Det enda syftet med appen är att installera Google Services på en icke-licensierad enhet, och det låter väldigt skissigt för mig, men jag är ingen advokat så jag har absolut ingen aning om dess laglighet.
Huawei har dock förnekat någon inblandning i appen eller webbplatsen. I ett uttalande till Android Central, sa en Huawei-talesman:
Huaweis senaste Mate 30-serie är inte förinstallerad med GMS, och Huawei har inte haft någon inblandning i www.lzplay.net
Den potentiella juridiska skiss som Wu hänvisar till är kanske varför det är omöjligt att spåra ursprunget till LZPlay. Appgränssnittet erbjuder ingen information om författarna. WHOIS-informationen för domänen hänvisar bara till Alibabas Kina-baserade molntjänsteavdelning, med IP-intervallet för de servrar som det är värd för som ägs av samma företag. Dessutom finns det inga ledtrådar att hitta på själva ensidiga webbplatsen, inte heller i HTML-, CSS- eller Javascript-källkoden på den sidan. De tidigaste referenserna till det vi kunde hitta online var i community-inlägg på Huawei Club runt mitten av juli, och erbjuder fortfarande ingen information om dess ursprung.
Och Wu säger att APK-filen i sig är lika ogenomskinlig:
Appen "LZPay" (sic) är fördunklad / krypterad av QiHoo Jiagu (奇 虎 加固) och är inte trivial att konvertera.
(Red. Anm.: QiHoo Jiagu är ett Kina-baserat företag som specialiserar sig på mobilappsäkerhet)
Någon betalade pengar för att skapa den här appen, kunde på något sätt få den certifierad, gafflade sedan ut för att designa sin professionella webbplats och vara värd för sina filer och vill ändå inte ha någon kredit. I själva verket verkar det som om de har gått ut ur deras sätt att förbli helt anonyma.
Wus ursprungliga forskning är väl värt att läsa om du funderar på att använda LZPlay-metoden för att installera Google-appar på en Huawei-telefon. (Eller om du bara vill uppskatta den mjukvarutekniska galna vetenskapen som krävs för att allt detta ska fungera.) Mellan Appens anonymitet och kraften i behörigheterna den använder, det är definitivt värt att titta på LZPlay med en kritisk öga.
Det här är de bästa trådlösa öronsnäckorna du kan köpa till varje pris!
De bästa trådlösa öronsnäckorna är bekväma, låter fantastiskt, kostar inte för mycket och sitter lätt i fickan.
Allt du behöver veta om PS5: Släppdatum, pris och mer.
Sony har officiellt bekräftat att de arbetar på PlayStation 5. Här är allt vi vet om det hittills.
Nokia lanserar två nya budget Android One-telefoner under 200 dollar.
Nokia 2.4 och Nokia 3.4 är de senaste tillskotten till HMD Globals budget smartphone-sortiment. Eftersom de båda är Android One-enheter får de garanterat två stora OS-uppdateringar och regelbundna säkerhetsuppdateringar i upp till tre år.
Säkra ditt hem med dessa SmartThings dörrklockor och lås.
En av de bästa sakerna med SmartThings är att du kan använda en massa andra enheter från tredje part på ditt system, dörrklockor och lås ingår. Eftersom de alla i huvudsak delar samma SmartThings-stöd har vi fokuserat på vilka enheter som har de bästa specifikationerna och tricksna för att motivera att de läggs till i din SmartThings-arsenal.