La ‘война’ торговля между США и Китаем на технологическом уровне оказала важное влияние на Huawei, производитель смартфонов. У них больше нет доступа к программному обеспечению Google. Итак, хотя они могут использовать Android через AOSP, они не могут быть предварительно установлены Google Apps. Однако решение пришло из самого Китая и называется LZPlay, приложение, которое отвечает за обход ограничений и установить GAPPS на мобильные телефоны Huawei.
LZPlay это приложение, которое изначально было запущено в магазине Google Play. И после того, как он был удален из официального магазина приложений компании Mountain View, он был предложен через веб-страница, LZPlay.net. Рассматриваемое программное обеспечение точно такое же, но метод распространения отличается, используя тот факт, что приложения Android могут быть установлены из «неизвестных источников». И самое главное, LZPlay — это инструмент для моддинга что в результате привело к установке GAPPS на мобильных телефонах Huawei. Но обзор удобен как это работает чтобы действительно понять, что это такое.
Huawei GMS: How To Properly Install LZ Play/Purple G App On Huawei Devices To Get GMS To Work 100%!
- 1 LZPlay использует «ошибку» в телефонах Huawei для установки Google Apps
- 2 Почему LZPlay — это «большое решение» и в то же время «большая проблема» для телефонов Huawei
- 3 Aurora Store, клиент для загрузки приложений с сервисами Google
LZPlay использует «ошибку» в телефонах Huawei для установки Google Apps
LZPlay использует в мобильных телефонах Huawei доступность MDM API. Но этот API любопытно изменен двумя дополнительными разрешениями: com.huawei.permission.sec.MDM_INSTALL_SYS_APP и com.huawei.permission.sec.MDM_INSTALL_UNDETACHABLE_APP, которые позволяют устанавливать приложения системного уровня. В этих устройствах Huawei системный раздел хранится в настройках конфигурации.
только для чтения, но изменение состоит в том, что сторонние приложения могут быть установлены как ‘системные приложения’, с соответствующими разрешениями, но не на самом деле. Подобного никогда раньше не случалось на смартфонах с предустановленным Google Play на заводе. Фактически, это не предусмотрено Android CDD.
Хотя новые телефоны Huawei не соответствуют требованиям Android CDD, Huawei может вносить изменения в уровень безопасности по своему усмотрению. Таким образом, LZPlay.net подключается к MDM API который априори направлен на выполнение бизнес-услуг. Это API удаленного управления чтобы технологический отдел компании мог полный контроль на устройстве.
Почему LZPlay — это «большое решение» и в то же время «большая проблема» для телефонов Huawei
La количество — золотых потребительских товаров разрешений, и размер их, запрошенный LZPlay, является проблемой во всем этом. Это то, что позволяет мобильным телефонам Huawei после простого для пользователя процесса завершить установку приложений Google на терминал. Но в то же время это главный риск для пользователя, поскольку сайт может иметь полный контроль устройство удаленно.
G App «Lzplay» NOT WORKING After Update Firmware HOW TO FIX
И игнорируя происхождение и владелец от LZPlay, это большая проблема. Веб-сайт был готов почти за три месяца до запуска Huawei Mate 30 -первый без заводских GAPPS- и инструмент LZPlay стал известен в тот же день, 23 сентября. Интересно, что в продажу устройство поступило не раньше 26 сентября. С другой стороны, это также привлекло внимание, что кто то, кто бы ни стоял за LZPlay, возможно, знал об изменениях Huawei в API MDM своего терминала и мог так быстро отреагировать на них.
Кажется, что может быть связь между тем, кто стоит за LZPlay, и самой Huawei, но официального подтверждения на этот счет нет. И не зная, кто отвечает за LZPlay, несмотря на преимущества, которые он может принести пользователям мобильных устройств Huawei из ‘новое поколение’, риски перевешивают преимущества. Поэтому не рекомендуется использовать LZPlay.net и его инструмент LZPlay по соображениям безопасности и конфиденциальности. В настоящее время его собственный создатель временно отозвал инструмент.
Aurora Store, клиент для загрузки приложений с сервисами Google
Но эффективное и более современное решение — Аврора Магазин. Мы говорим, что это эффективно, потому что это не репозиторий для использования и внешний по отношению к Google Play, но он работает как клиент того же магазина. Это означает, что и интерфейс, и работа приложения очень похожи на Play Store, в нем есть службы Google, и нет необходимости загружать файлы APK.
Очень специфическая, но очень успешная альтернатива с правильно спроектированными функциями. Точно так же он позволяет загрузку вручную, в которой мы можем загрузить другие версии приложения, если терминал несовместим с последней версией. Другой — это возможность сменить регион, то, что Google Play не разрешает, кроме как в обоснованных случаях, что позволяет загружать приложения, доступные только в определенных странах.
Чтобы загрузить этот клиент, необходимо скачать простой APK-файл по приведенной ниже ссылке. Вам не потребуется никаких дополнительных действий, кроме установки указанного APK. Кроме того, для этого практически не требуются какие-либо разрешения и нет необходимости запускать сеанс, хотя это можно сделать по желанию.
[Url BrandedLink = »https://f-droid.org/en/packages/com.aurora.store/»] Магазин Aurora [/ BrandedLink]
Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.
Полный путь к статье: Справка Android » Android » Что такое » Что такое LZPlay, «волшебный инструмент» для установки Google Apps на мобильные телефоны Huawei
Источник: androidayuda.com
Huawei подвергла пользователей опасности из-за сервисов Google
Существует не так много способов установить сервисы Google на Android-смартфоны, не имеющие соответствующей лицензии. Почти все они предусматривают получение root-прав, на что решаются далеко не все пользователи. Поэтому было вполне логично, что Huawei отказалась от предустановки специального инсталлера, который бы загружал на несертифицированные аппараты службы поискового гиганта. Однако на счастье пользователей в Сети появился инструмент LZPlay, который устанавливал сервисы Google на флагманские Mate 30 и Mate 30 Pro, не требуя совершения опасных или противоправных действий. Интересно, почему?
Huawei подвергла своих пользователей опасности. И всё из-за сервисов Google
Как установить сервисы Google
Чтобы установить сервисы Google через LZPlay, было достаточно набора простейших манипуляций:
- Открыть браузер и перейти на сайт lzplay.net (не действует);
- Загрузить пакет с сервисами Google Play;
- Установить APK-файл, следуя инструкциям на экране;
- Авторизоваться с помощью своей учётной записи Google.
Да, вот так просто. Описанный метод не требует ни получения root-прав, ни разблокировки бутлоадера. Но самое удивительное в нём то, что все сервисы Google, которые устанавливаются таким способом, работают совершенно исправно без каких-либо сбоев. Даже Google Pay, который обычно несовместим со смартфонами, несертифицированными для использования Google Mobile Services, позволяет расплачиваться бесконтактным путём на любых совместимых терминалах.
Чем опасна установка сервисов Google
Разработчик Джон Ву решил выяснить, как получилось так, что инструмент LZPlay позволял устанавливать сервисы Google на несовместимые смартфоны. В процессе изучения ситуации он узнал, что LZPlay задействует ряд специфичных привилегий, которые открывают ему доступ к надстройке Mobile Device Management, отвечающую за управление устройствами. Но поскольку сторонние разработчики не могли получить к ней доступ самостоятельно, потому что для этого требовалась подпись производителя, выходит, что сама Huawei и подписала LZPlay.
Через какое-то время, когда выяснилось, что LZPlay не так прост, как кажется, все решили, что он представляет собой вредоносное обеспечение, которое могло использоваться хакерами для получения контроля над уязвимыми устройствами. Никому и в голову не могло прийти, что сама Huawei санкционировала установку сервисов Google через LZPlay и, возможно, самостоятельно участвовала в создании этого инструмента. В конце концов, с её стороны было бы нелогично даже не попытаться предпринять каких-либо шагов по обеспечению своих пользователей доступом к службам поискового гиганта.
Почему Huawei запретила установку сервисов Google
Казалось бы, что тут такого? Но, по словам Ву, таким образом Huawei подвергла своих пользователей серьёзной опасности. Ведь если сторонний разработчик мог получить контроль над устройством, нет никаких гарантий, что он не воспользовался бы этими привилегиями и не попытался украсть конфиденциальные данные своей жертвы. А такое, учитывая беспринципность многих девелоперов, является вполне стандартной практикой. К счастью, Huawei вовремя одумалась и прикрыла лавочку, оставив пользователей без сервисов Google, но зато в относительной безопасности.
Теги
- Безопасность Android
- Компания Google
- Операционная система Android
- Смартфоны Huawei
Наши соцсети
Новости, статьи и анонсы публикаций
Источник: androidinsider.ru
Мощные скрытые API в Huawei Mate 30 позволяют устанавливать приложения Google
Вскоре после публикации этого обновления веб-сайт LZPlay был закрыт, и приложение больше не работает. Mate 30 устройств с приложениями Google, установленными из LZPlay, больше не проходят CTS Google (пакет тестирования совместимости) для таких вещей, как DRM и поддержка Google Pay.
Mate 30 Pro — первый флагман Huawei, запущенный после того, как китайская компания была добавлена в Список организаций правительства США, что означает, что она не может поставляться с приложениями и службами Google. Вскоре после запуска приложение «Google Service Assistant» ( также известное как LZPlay, по URL-адресу его веб-сайта) стало широко известно как простой способ восстановления сервисов Google до Mate 30. Однако, как именно это работало, было неизвестно до тех пор, пока разработчик и Android не защитили эксперт Джон Ву застрял в его внутренней работе.
В статье, опубликованной сегодня на Medium , Ву говорит, что приложение использует недокументированные разрешения Huawei MDM (управление мобильными устройствами) для того, чтобы установить ключевые компоненты и приложения Google в качестве системных приложений — необычная ситуация с последствиями для безопасности устройства. Более того, исследования Ву утверждают, что для использования этих мощных недокументированных разрешений анонимный разработчик LZPlay должен был бы получить сертификацию Huawei. В заявлении для Android Central Huawei отрицает какую-либо связь с LZPlay.
Обычно вы не можете устанавливать новые системные приложения.
Основная причина, по которой вы не можете просто установить Google Framework, GMS Core и другие компоненты служб Google, как обычный файл APK, заключается в том, что они являются системными приложениями и используют специальные разрешения, недоступные для обычных приложений. Системные приложения могут иметь намного больший контроль над телефоном, чем приложение, которое вы загружаете из Google Play Store. И хотя системные приложения могут обновляться новыми версиями — например, из Play Store — оригиналы должны быть сначала загружены в раздел / system производителем телефона. Обновленные версии приложений должны быть подписаны тем же ключом безопасности, что и оригинальная версия.
Раздел / system обычно не может быть изменен пользователями, если телефон не рутирован . Таким образом, пользователи Android обычно не могут устанавливать новые системные приложения — что по соображениям безопасности является очень хорошей вещью.
Поскольку Huawei не может легально вести бизнес с американскими компаниями, он не может загружать эти приложения на заводе. Тем не менее, пользователи также не могут устанавливать службы Google напрямую, поскольку они являются системными приложениями. (А поскольку Huawei блокирует свои загрузчики, о рутировании также не может быть и речи.)
Решением для создателей LZPlay является использование мощного, но недокументированного набора API-интерфейсов управления мобильными устройствами Huawei. API MDM обеспечивают огромный контроль над устройством и часто используются предприятиями для управления телефонами, принадлежащими компании.
Два мощных недокументированных разрешения лежат в основе LZPlay
Джон Ву обнаружил два недокументированных разрешения MDM:
- com.huawei.permission.sec.MDM_INSTALL_SYS_APP
- com.huawei.permission.sec.MDM_INSTALL_UNDETACHABLE_APP
С риском констатировать очевидное: первое — это разрешение на установку системных приложений, а второе — разрешение на установку приложения, которое впоследствии не может быть удалено. И то и другое необычно даже в мире MDM, и, по словам Ву, в настоящее время ни одна из них не включена в официальную документацию Huawei.
Но подождите минуту — разве невозможно установить новые системные приложения?
Исследования Ву показывают, что такие приложения, как LZPlay, не устанавливают приложения непосредственно в раздел / system, который доступен только для чтения, но в том же хранилище с возможностью записи, что и любое другое приложение. Благодаря разрешению MDM «установить системное приложение» Android «помечает» их как системные приложения, предоставляя им правильные разрешения для работы. И это то, что происходит, когда LZPlay загружает основные компоненты Google из … откуда угодно.
Такое недокументированное разрешение очень необычно и, в случае злоупотребления, потенциально вредно для безопасности. Тем не менее, пользователи должны предоставить администратору приложения разрешения, прежде чем они могут быть затронуты. И есть другие меры безопасности, к которым мы скоро придем, с Huawei, действующим в качестве привратника для всех его различных разрешений MDM. Тем не менее, как объясняет Ву в своей статье, хранение исходных версий системных приложений в том же хранилище с возможностью записи, что и в других пользовательских приложениях, открывает возможность более легкого вмешательства в случае обнаружения какой-либо другой уязвимости безопасности. (Вряд ли, но, конечно, не невозможно.)
У прочесал китайскую документацию по MDM SDK от Huawei, чтобы узнать больше. Он говорит, что для использования любого из API-интерфейсов MDM разработчики должны подписать соглашения с Huawei, обосновать использование ими разрешений MDM и представить файлы APK для утверждения. После утверждения, говорит Ву, Huawei предоставляет цифровой сертификат, необходимый для разрешений на работу.
Тот, кто стоит за LZPlay, кажется, отчаянно пытается остаться анонимным
И это только делает ситуацию с LZPlay еще более странной. Наличие недокументированных разрешений MDM, которые могут устанавливать новые системные приложения, конечно же, ненормально, но в то же время это единственный способ, с помощью которого пользователи могут устанавливать службы Google на нелицензионный телефон без полной торпедирования встроенной безопасности Android. Тем не менее, идея анонимного разработчика LZPlay, прошедшего длительный процесс одобрения API MDM и получившего благословение Huawei, еще более странна.
Ву обвиняет Huawei в том, что он «хорошо осведомлен» о LZPlay и разрешает его дальнейшее существование:
На данный момент, совершенно очевидно, что Huawei хорошо знает об этом приложении «LZPlay» и явно допускает его существование. Разработчик этого приложения должен каким-то образом знать об этих недокументированных API-интерфейсах, подписывать юридические соглашения, проходить несколько этапов проверок и, в конечном итоге, подписывать приложение Huawei. Единственная цель приложения — установить Службы Google на нелицензионном устройстве, и для меня это звучит очень схематично, но я не юрист, поэтому совершенно не имею понятия о его законности.
Однако Huawei отрицает какую-либо связь с приложением или сайтом. В заявлении для Android Central представитель Huawei сказал:
Последняя серия Huawei Mate 30 не предустановлена с GMS, и Huawei не имеет никакого отношения к www.lzplay.net
Потенциальная правовая схематичность, на которую ссылается Ву, возможно, объясняет, почему невозможно отследить происхождение LZPlay. Пользовательский интерфейс приложения не предоставляет никакой информации об авторе (ах). Информация WHOIS для домена относится только к китайскому подразделению облачных сервисов Alibaba, а диапазон IP-адресов серверов, на которых он размещен, принадлежит одной и той же компании. Более того, нет никаких подсказок, которые можно найти ни на одностраничном веб-сайте, ни в исходном коде HTML, CSS или Javascript на этой странице. Самые ранние ссылки на него, которые мы смогли найти в Интернете, были в сообщениях сообщества на форуме клуба Huawei в середине июля, но до сих пор не предоставлено никакой информации о его происхождении.
И Ву говорит, что сам файл APK также непрозрачен:
Приложение «LZPay» (sic) запутано / зашифровано QiHoo Jiagu (奇 虎 加固) и не является тривиальным для обратного инжиниринга.
(Примечание редактора: QiHoo Jiagu — китайская фирма, специализирующаяся на безопасности мобильных приложений)
Кто-то заплатил деньги за создание этого приложения, каким-то образом смог получить его сертификацию, а затем раскошелился на дизайн своего профессионально выглядящего веб-сайта и размещение его файлов, но при этом не хочет кредитовать. Фактически, кажется, что они старались изо всех сил оставаться полностью анонимными.
Оригинальное исследование Ву стоит прочитать, если вы планируете использовать метод LZPlay для установки приложений Google на телефон Huawei. (Или, если вы просто хотите оценить безумную науку разработки программного обеспечения, которая необходима для выполнения всей этой работы.) Между анонимностью приложения и мощностью используемых им разрешений, безусловно, стоит взглянуть на LZPlay критическим взглядом.
Источник: gadgetshelp.com