Säkerhetsexperten: Huawei lät användare köra Google-appar på Mate 30

2019-10-02 16:19  
Foto: TT/Andre M. Chang, Thibault Camus

Med en mystisk app kom Mate 30-användare åt Googles tjänster. Vilka låg bakom den? Spåren leder tillbaka till Huawei.

Huawei Mate 30 säljs som bekant utan Googles appar och saknar Play Store, Googles appbutik. Men kort efter lanseringen dök appen LZ Play upp, med vilken en användare kunde kringgå begränsningarna.

Möjligheten gjorde John Wu, en säkerhetsexpert på operativsystemet Android, både förvånad och nyfiken. Utöver de uppenbara säkerhetsriskerna som installationen av LZ Play innebar så borde den inte fungera över huvud taget.

Det är annars inte ovanligt att Android-enheter som säljs i Kina av tillverkare försetts med så kallade Google Mobile Services-stubbar, som kan aktiveras för att ge kinesiska användare ett sätt att komma åt Googles tjänster bakom den stora kinesiska brandväggen. Men en sådan aktivering förutsätter att Google signerar den först.

Läs mer: ”Inga planer på att släppa Bank ID till Huawei Mate 30 Pro”

Eftersom amerikanska myndigheter förbjudit amerikanska företag att göra affärer med Huawei var det för John Wu förbryllande hur LZ Play-appen kunde komma runt det hindret. ”Vänta lite här nu, betyder det här att Google i hemlighet smugglar stubbarna till Huawei, eller betyder det att Huawei helt sonika stulit dem?”, frågar sig Wu i en text på sajten Medium.

Efter lite efterforskning har han ett svar också. Det visar sig att den eller de som ligger bakom LZ Play av någon anledning har känt till att Huawei har två odokumenterade api:er gömda i ett enhetshanteringssystem, ofta använt av företagskunder för att hantera medarbetarnas telefoner. Med hjälp av de odokumenterade api:erna kunder LZ Play öppna en bakdörr till Googles tjänster.

Huawei förnekar att ligga bakom appen

Men för att det ska vara möjligt krävs ett godkännande från Huawei.

”Vid det här laget”, skriver John Wu, ”är det ganska uppenbart Huawei mycket väl känner till den här LZ Play-appen och explicit tillåter dess existens. Utvecklaren av den här appen måste på något sätt vara medveten om de odokumenterade api:erna, skriva på juridiska avtal, genomgå flera steg av inspektioner och slutligen få appen signerad av Huawei”.

Läs mer: Så kan Huawei Mate 30 Pro få tillgång till (nästan hela) Google Play Store

Huawei har förnekat att företaget har något med LZ Play att göra.

LZ Play – vars upphovsmakare tycks ha gjort sitt bästa för vara så hemlighetsfulla som möjligt – har efter Mediums publicering tagit bort appen och det går inte längre att besöka deras hemsida. Google å sin sida har strukit Mate 30 från sitt Safetynet-system, som listar betrodda enheter.

Peter Ottsjö

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt