Huawei Mate 30 i LZPlay. Koniec z nieautoryzowanym wgrywaniem Usług Google

Gdy Huawei powiadomił oficjalnie o braku Usług Google w Mate 30, jasnym stało się, że użytkownicy zaczną szukać własnych rozwiązań. Najefektywniejsze z nich właśnie zniknęło z sieci, a cała historia tego narzędzia owiana jest ogromną aurą tajemnicy i kontrowersji.

Instalacja Usług Google nie jest tak prosta, jak mogłoby się wydawać. Część plików musi trafić na partycję systemową, co wymaga dostępu do bootloadera, który to urządzenia Huawei (i Honor) mają zablokowany. Niespodziewanie w internecie pojawiło się narzędzie o nazwie LZPlay, aka Google Service Assistant, pozwalające w prosty sposób zainstalować wymagane komponenty. Oficjalnie stworzył je nikomu wcześniej nieznany chiński deweloper.

Nieoficjalnie sprawa, mówiąc delikatnie, brzydko pachnie. Jak ustalił znany badacz bezpieczeństwa, John Wu, LZPlay wykorzystuje nieudokumentowane środowisko programistyczne o pełnym dostępie do systemu, zwane Huawei Mobile Device Management. Specjalista odkrył w kodzie odniesienia do uprawnień zezwalających instalować aplikacje systemowe, MDM_INSTALL_SYS_APP oraz MDM_INSTALL_UNDETACHABLE_APP. Oczywiście to nie jest tak, że z dodatkowych przywilejów skorzysta byle cwaniak. Wymagają podpisania apki przez Huawei.

Co zrozumiałe, przedsiębiorstwo z Shenzhen całkowicie odcina się od związków z narzędziem LZPlay i jego twórcą, ale nie to jest najistotniejsze. Na uwagę zasługuje fakt, że chiński producent intencjonalnie pozostawił furtkę do ingerencji w partycję systemową. Tu żadne z potencjalnych rozwiązań nie stawia Huawei w korzystnym świetle. Jeśli dali przyzwolenie na nieautoryzowaną instalację Usług Google, to łamią prawo. A jeśli ktoś rozpracował ich system certyfikacji, to może umieścić w centrum Androida dowolny malware. Już abstrahując od tego, że jak na dłoni otrzymujemy obiekt wieloletnich poszukiwań służb USA – backdoor.

Wprawdzie, o czym informuje sam specjalista, nie jest to backdoor w stylu szpiegowskim. Urządzenie każdorazowo wyświetla prośbę o zgodę na wykorzystanie dodatkowych uprawnień. Nie można tu więc zarzucić firmie podglądactwa, co jednak nie oznacza, że poruszamy się w sferze natywnych możliwości Androida. Bo tak po prostu nie jest.

Po energicznej interwencji ze strony badaczy bezpieczeństwa, zarzucających Huawei właśnie ułatwianie zadania cyberprzestępcom, dystrybuująca kontrowersyjne oprogramowanie witryna lzplay.net zniknęła. Tym bardziej można podejrzewać producenta o związek z tajemniczym crackerem. Tak czy inaczej, efekt końcowy jest taki, że póki co nikt już Usług Google na Mate 30 nie zainstaluje, a przynajmniej nie zrobi tego poprzez LZPlay.