В интернете появился подозрительный и небезопасный сервис установки приложений Google на смартфоны Huawei

_z4z5v5ldfobnlpkrwadvkbfxk4.jpeg

Правительство США несколько месяцев назад запретило американским компаниям вести бизнес с китайской технокорпорацией Huawei. Недавно Huawei выпустила смартфон Mate 30 Pro, который оказался первым телефоном компании, оставшимся без приложений Google. Это серьезный недостаток устройства, поскольку теперь оно поставляется без экосистемы приложений Android и без таких популярных приложений, как Play Store, Gmail, Google Maps, YouTube, Chrome, Google Assistant и других.

Интернет, как обычно, придумывает свои способы, как получить приложения Google на Mate 30 Pro. «Серая» установка приложений не нова, и легко можно найти приложения на устройствах, которые обычно с ними не поставляются. Однако, как правило, методы установки приложений работают либо с помощью разблокированного загрузчика, который позволяет пользователям «перетаскивать» приложения Google в системный раздел, предназначенный только для чтения, либо на «заглушки», оставленные в системном разделе производителем устройства специально для приложений Google. На Мате 30 не работает ни один из методов.

Тем не менее, в сети появился новый метод загрузки приложений Google на Mate 30 — через веб-сайт Lzplay.net. Сайт, как пишет ArsTechnica, устанавливает шесть системных приложений в мгновение ока практически без взаимодействия с пользователем. Однако, заявляет издание, этот сайт — настоящий «кошмар безопасности для Android».
Lzplay.net подключается к API удалённого управления смартфонами на Android. Удалённое управление позволяет получить такой же контроль над устройством, как если держать его в руках: устанавливать и удалять приложения, изменять пароль, выполнять удаленную очистку устройства и сделать миллион других вещей. На этом этапе владелец смартфона должен остановиться и подумать, хорошая ли это идея — предоставлять эти права неизвестному объекту.

Как пишет ArsTechnica, никто не знает, кому принадлежит Lzplay.net и заслуживает ли сайт доверия. Поиск в Whois показывает, что сайт расположен в материковом Китае и был создан всего три месяца назад. Сейчас в интернете появилось множество рецензий и видео, посвящённых Lzplay. Однако, как правило, в них рассказывается только как пользоваться сервисом. Вы посещаете веб-сайт, устанавливаете приложение Lzplay, а затем предоставляете ему права администратора устройства, после чего оно выполняет свою функцию и устанавливает приложения Google. На этом этапе большинство руководств поздравляет вас с тем, что вы справились со своей задачей, и предлагает перезагрузить смартфон. Почти нигде не упоминается о том, у вас по-прежнему установлено это приложение Lzplay в качестве администратора устройства.

У сферы моддинга Android всегда были проблемы с безопасностью. В его рамках пользователи часто устанавливают приложения с широкими полномочиями, и эти полномочия могут нанести вред системе смартфона. Сообщество обычно обходит подобные проблемы путем установки приложений с открытым исходным кодом, где любой может проверить код и посмотреть, что делает то или иное приложение, или с помощью нескольких надежных разработчиков, которые существуют уже много лет и показали, что пользователи могут им доверять.

Метод Lzplay.net не подходит ни под одно из требований безопасности сообщества. Конечно, Lzplay может и не сделать ничего плохого сегодня, но поскольку у него остаются права администратора устройства, завтра оно может легко заполнить ваш телефон майнерами биткоинов, удаленно установить вирусы-вымогатели или заблокировать ваш телефон.

Несмотря на явную небезопасность сервиса, он демонстрирует быстрый рост популярности за последние две недели. Отчасти он объясняется тем, что альтернативных методов для установки приложений Google на Mate 30 действительно нет. Приложения Google всегда поставляются как часть операционной системы смартфона. И, поскольку Mate 30 не имеет разблокированного загрузчика, который позволил бы пользователям самостоятельно внести приложения Google в системный раздел, не должно быть никакого способа оснастить Mate 30 приложениями Google. Тем не менее, Lzplay это удается.

ArsTechnica утверждает, что способ довольно подозрителен. Lzplay включает специальные разрешения, которые существуют только на Huawei Mate 30 — разрешения, которые позволяют стороннему приложению помечаться как системное и получать разрешения, которые обычно ему не доступны. Другими словами, Huawei добавил свой собственный бэкдор, который нарушает систему разрешений Android, и Lzplay использует его. Как утверждает в комментарии изданию Джон Ву, исследователь безопасности Android: «На данный момент совершенно очевидно, что Huawei хорошо знает об этом сервисе Lzplay и явно допускает его существование».

Huawei уже спросили, стоит ли она за Lzplay, и Huawei отвергла эту идею и сделала следующее заявление в Android Central: «Huawei не имеет никакого отношения к www.lzplay.net».

При этом, сообщает ArsTechnica, исследовать сервис Lzplay трудно, так как он «довольно запутанный». Как считает Джон Ву, кто-то старался изо всех сил скрыть, что именно делает Lzplay, как он работает и кто его создал.

На данный момент смартфон Mate 30 доступен только в Китае. Компания Huawei пока не ведет бизнес в США, но широко представлена в Европе, где является вторым по величине производителем смартфонов после Samsung с долей рынка 18%.

© Habrahabr.ru