Säkerhetsexperten: Huawei lät användare köra Google-appar på Mate 30

Huawei Mate 30 säljs som bekant utan Googles appar och saknar Play Store, Googles appbutik. Men kort efter lanseringen dök appen LZ Play upp, med vilken en användare kunde kringgå begränsningarna.

Möjligheten gjorde John Wu, en säkerhetsexpert på operativsystemet Android, både förvånad och nyfiken. Utöver de uppenbara säkerhetsriskerna som installationen av LZ Play innebar så borde den inte fungera över huvud taget.

Det är annars inte ovanligt att Android-enheter som säljs i Kina av tillverkare försetts med så kallade Google Mobile Services-stubbar, som kan aktiveras för att ge kinesiska användare ett sätt att komma åt Googles tjänster bakom den stora kinesiska brandväggen. Men en sådan aktivering förutsätter att Google signerar den först.

Eftersom amerikanska myndigheter förbjudit amerikanska företag att göra affärer med Huawei var det för John Wu förbryllande hur LZ Play-appen kunde komma runt det hindret. ”Vänta lite här nu, betyder det här att Google i hemlighet smugglar stubbarna till Huawei, eller betyder det att Huawei helt sonika stulit dem?”, frågar sig Wu i en text på sajten Medium.

Efter lite efterforskning har han ett svar också. Det visar sig att den eller de som ligger bakom LZ Play av någon anledning har känt till att Huawei har två odokumenterade api:er gömda i ett enhetshanteringssystem, ofta använt av företagskunder för att hantera medarbetarnas telefoner. Med hjälp av de odokumenterade api:erna kunder LZ Play öppna en bakdörr till Googles tjänster.

Huawei förnekar att ligga bakom appen

Men för att det ska vara möjligt krävs ett godkännande från Huawei.

”Vid det här laget”, skriver John Wu, ”är det ganska uppenbart Huawei mycket väl känner till den här LZ Play-appen och explicit tillåter dess existens. Utvecklaren av den här appen måste på något sätt vara medveten om de odokumenterade api:erna, skriva på juridiska avtal, genomgå flera steg av inspektioner och slutligen få appen signerad av Huawei”.

Huawei har förnekat att företaget har något med LZ Play att göra.

LZ Play – vars upphovsmakare tycks ha gjort sitt bästa för vara så hemlighetsfulla som möjligt – har efter Mediums publicering tagit bort appen och det går inte längre att besöka deras hemsida. Google å sin sida har strukit Mate 30 från sitt Safetynet-system, som listar betrodda enheter.