Huawei Mate 30, il tool LZPlay è pericoloso

Sui nuovi Huawei Mate 30 non sono presenti le app Google, in quanto il rilascio della certificazione Android è stata bloccata dal ban imposto dall’amministrazione Trump. A fine settembre è stato scoperto un modo per installare i Google Mobile Services (GMS). Un noto ricercatore di sicurezza ha esaminato il codice dell’app LZPlay per comprendere il suo funzionamento.

Sui dispositivi Android venduti in Cina è possibile il sideloading delle app Google perché i produttori usano i cosiddetti “GMS Installer”, ovvero porzioni di codice (stub) che consentono agli utenti di installare i Google Mobile Services (Play Store, Gmail, YouTube e altre app). Ciò è possibile in quanto Google ha concesso la necessaria licenza e quindi la firma richiesta per installare o aggiornare le app di sistema. Ma sui Mate 30 non c’è nessun “stub”, per cui non dovrebbe essere possibile l’installazione dei GMS.

Per installare le app di sistema è necessario effettuare il rooting del dispositivo, operazione impossibile sui Mate 30 perché il bootloader è bloccato. Gli ignoti sviluppatori dell’app LZPlay hanno sfruttato due API non documentate per installare tutti i componenti necessari, come ha scoperto il ricercatore di sicurezza John Wu esaminando il codice con APKTool.

Le due API in questione sono parte di un set di API che Huawei ha scritto per consentire alle aziende di gestire i dispositivi dei dipendenti (MDM). LZPlay non installa le app Google nella partizione /system di sola lettura, ma nella partizione /data, sfruttando le due API per impostare un flag che “trasforma” le app Google in app di sistema con i permessi necessari al loro corretto funzionamento. Il ricercatore ritiene quindi che il framework sviluppato da Huawei abbia una backdoor che consente l’uso di questo “trucco”.

Wu afferma che Huawei conosceva benissimo il funzionamento di LZPlay, in quanto i permessi MDM vengono concessi agli sviluppatori solo dopo aver sottoscritto un accordo con il produttore cinese e aver ricevuto il certificato digitale necessario. Huawei ha tuttavia negato qualsiasi coinvolgimento con LZPlay. Non è chiaro come l’anonimo sviluppatore abbia ottenuto la certificazione MDM. Poche ore dopo la pubblicazione dell’articolo di Wu su Medium, il sito www.lzplay.net è stato chiuso.