
20 Novembre 2019
Da settimane seguiamo da vicino le vicende legate al Mate 30 Pro, sia lato hardware ma soprattutto software perché, a suo malgrado, è la prima vittima eccellente del ban imposto a Huawei. Il risultato di questa guerra commerciale si traduce nella mancanza del Play Store e delle applicazioni Google alla prima accensione del dispositivo, una condizione a cui non siamo certo abituati su Android e un problema più che reale per il futuro della casa cinese al di fuori dei confini.
Ma una soluzione alternativa era subito sbucata fuori attraverso un applicativo esterno capace di sfruttare una backdoor, tale LZPlay scaricabile dal sito cinese lzplay.net, entrambi offline e inutilizzabili da diverse ore. Il procedimento per ottenere le G Apps era piuttosto semplice e ve lo abbiamo mostrato direttamente su Mate 30 Pro, pochi passaggi, tutti in cinese, e il Play Store appariva magicamente sulla homescreen.
Ma LZPlay non era uno dei soliti "GMS Installers" (dove GMS sta per Google Mobile Services) come tanti disponibili sul web, l'applicazione non si limitava ad installare una lista di applicazioni Google tramite APK - che poi funzionano solo se sul device c'è una regolare licenza Android - bensì sfruttava dei particolari permessi per l'installazione come "App di sistema". A raccontarlo nei minimi dettagli (link in fonte) è stato nelle scorse ore John Wu, uno dei principali ricercatori sulla sicurezza di Android e creatore di Magisk.
Come se non bastasse, adesso i Mate 30 Pro che hanno le Google Apps installate - come il modello in nostro possesso - non passano più il test SafetyNet come invece avvenuto correttamente fino a qualche giorno fa.
Soooo uhh this is new.
— Alex Dobie (@alexdobie) October 1, 2019
Since today's developments, Mate 30 Pro now fails SafetyNet. Last week it passed.
What the what pic.twitter.com/fPeaWUHD2v
A conferma ulteriore che il "sistema lzplay" è stato completamente scardinato anche da Google, il blocco dei pagamenti tramite Pay, chi lo aveva testato con successo in precedenza si è visto rifiutare la transazione già ieri sera, 1 ottobre.
So as per @alexdobie original tweet. Failed CTS check = no more Google Pay working. So I tested.
— Damien Wilde (@iamdamienwilde) October 1, 2019
But considering this was working less than 2 days ago, this is not good. pic.twitter.com/0E8pGNtY97
La questione è tecnicamente complessa, perché andando in profondità John Wu ha scoperto diverse anomalie all'interno dell'applicazione Izplay e le ha correlate con un set di API per il mobile device managment (MDM) realizzate da Huawei. Il ricercatore ha così trovato due permessi inediti al loro interno, righe di codice che non si trovano solitamente all'interno del sistema Android stock e su cui ha evidentemente puntato "LZPlay".
uses-permission android:name="com.huawei.permission.sec.MDM_INSTALL_SYS_APP"/
uses-permission android:name="com.huawei.permission.sec.MDM_INSTALL_UNDETACHABLE_APP"/
Nessun rischio spionaggio, ha chiarito Wu, ma è plausibile che Huawei abbia piazzato questi permessi per lasciare uno spiraglio aperto a questo tipo di soluzione alternativa. Risulta tuttavia difficile credere, nel 2019, che qualcuno non lo avrebbe scoperto nel giro di qualche giorno.
Ma l'aver scardinato LZPlay non è un vero problema per la casa di Shenzhen, questo escamotage ufficioso, realizzato da terzi, aggirava il problema, ma era piuttosto evidente che non sarebbe durato (come spesso accade in questo mondo). Le soluzioni che permetteranno la sopravvivenza del marchio nel mobile, fuori dalla Cina, restano due: risoluzione dei contrasti con l'amministrazione statunitense, rilascio in tempi credibili di HarmonyOS con il beneplacito degli sviluppatori che porteranno in massa le loro applicazioni. Non c'è più posto per simili scorciatoie.
Nota: avendo già installato LZPlay in passato, tutte le GApps (tranne Pay) funzionano correttamente al momento, sono stato anche in grado di scaricare dal Play Store un servizio Google (News).
Perseverance, successo storico! Ma ora comincia il vero viaggio | Video
Twitch: storie di ban ambigui, streamer in "rivolta" e regolamenti poco chiari | Video
Recensione Xiaomi Mi Watch: con Alexa integrato ha una marcia in più
Auto elettriche e app di ricarica colonnine pubbliche: guida per principianti | Video
Commenti
I produttori ... Se era per loro.... Altro che garanzia. Ricordi quando si sollevò un polverone perché un grande assemblatore di pc non formiva pc senza win , il problema sta nella visione che si ha dello strumento personalmente credo che bisogna sbloccare il bootloader e lasciare l' utente se abilitare i permessi di root o meno, come d'altra parte è su ogni laptop, descktop, convertibile in commercio . Ti immagini il casino che scoppierebbe se i pc fossero bloccati?
Il problema e che se dai root qualunque app ti più piallare lo smartphone, non credo che i produttori siano interessati a gestire milioni di utenti che si sono suicidati non sapendo cosa facevano
Fatti loro come c'è l' assistenza per i pc così la fanno sui tpc che chiamano smartphone p.s. volendo le metti nel menu sviluppatori che anche li c'è da fare strage....
Il problema e che se per default danno root sugli smartphone sai che strage xD obiettivamente chi acquista un Raspberry e un utente consapevole, chi compra uno smartphone in maggioranza e un utilizzatore che non ha la minima idea di come funzioni in realtà
Root = amministratore su win , per capirci con un raspberry che ha un soc arm come gli smartphone, hai i permessi di root e la garanzia, sui pc win hai i permessi di amministratore ed hai la garanzia , personalmente vedo come una limitazione della mia libertà tutti questi blocchi sui computer tascabili rinominati smartphone da qualche astuto uficio di marcheting
Non comprendo l'analogia
Certo come sei amministratore in win....
Si ma devi essere root per farlo
Gli installi come si fa con le custom rom
perchè quando compri un pc non lo puoi fare lo stesso ? Ripeto questi smartphone sono pc per gli altri ci sono i featurephone
Ho parlato che anche le altre aziende lo fanno, quindi sto difendendo tutte ?
PERMESSI pubblici != backdoor
Non vuoi capire proprio eh, devi difendere l'azienda a spada tratta, ho capito.
ma non è una backdoor se è pubblica e messa dall'azienda, è un nuovo permesso tra i migliaia di permessi che si possono ottenere su Android, lo sai vero ?
Ma sai che le backdoor valgono anche se le mette il produttore, vero?
Istallate aptoide
Rottame
Non è stata Huawei a distribuire il certificato, ma è stato trafugato illegalmente da un suo dipendente convertitosi all'Islam, che lo ha passato alla nota crew LZ di hackers iraniani (da cui nome "LZPlay") che poi ha sviluppato e divulgato l'app che fa installare i GPlayServices.Il bello è che l'app cancella anche la backdoor NSA di Android, ecco il vero motivo per il quale Google è intervenuta celermente su richiesta di Trump... ;-)
L'unica soluzione è la prima
Oltretutto ti pare che tutte le compagnie americane si mettano a caricare gli apk su uno store di un produttore bandito? LOL
Finché non lo provi. Con quei lati secondo me ti ci puoi fare anche la barba... :D
E' tempo per Huawei di fare l'ulteriore step e spingere ancora di più una loro suite di servizi per diventare il prima possibile indipendente da Google.
L'utente comune non ha voglia di installare apk, controllare manualmente gli aggiornamenti, ecc.
Vedi oggi: parte la class action contro Google per dati utente sottratti tra il 2011 e il 2012.
Voglio vedere una class action contro una ditta cinese... stai ridendo anche tu? :)
Ai tempi lavoravo con Concorde (distributore Meizu) quelli che mettevano il Google installe e la figurina blu esternamente alla confezione. Da allora non è cambiato nulla se non il fatto che MEizu fa certificare i suoi dispositivi nuovi a Google. Se qualcuno che non sia huawei mette sul App gallery (lo store di Huawei) un software GMS le responsabilità non ricadono su Huawei e dovrebbe essere Google a segnalare l'illecito, ma a google non conviene ovviamente.
"quest'app per farle utilizzare le API nascoste, quindi Huawei era pienamente consapevole di tutto questo."
Che é ciò che ho detto io ;)
Anche se non fosse un'app diretta di Huawei, quest'ultima ha approvato e firmato quest'app per farle utilizzare le API nascoste, quindi Huawei era pienamente consapevole di tutto questo. Loro sono gli idioti che hanno preso per idioti tutti gli enthusiast (vedi il dev di Magisk, che ha smantellato tutto nel giro di quanto? 3 o 4 giorni?)
Il telefono non era proprio appetibile
Ok, quindi ti fidi di una backdoor cinese.
Cinesi troppo morbidi ... guerra guerre sia.
-Blocco dei medicinali.
-Blocco terra rare
-Vendita/regalo j31 e df17 Iran per un valore di 6 miliardi.
- taglio di ogni genere importazioni americane
-massima collaborazione con la russia
il maggior scandalo al mondo per controlli di propi cittadini e anche in minor parte stranieri, da parte delle stesse agenzie di quel paese è sempre successo in america... altro fatto.. vedi, su questi discorsi è difficile orientarsi, in primis che i veri responsabili fanno di tutto per insabbiare o addirittura dare colpe ad altri di azioni illecite compiute dagli stessi.. e allora cerco di circoscrivere i fatti reali che mi possono dare un orientamento nella giusta direzione di visione.
Vende tablet da 60€ oltretutto lol.
Infatti Huawei non ha mai dichiarato ufficialmente che quella roba è frutto del suo sacco, non sono idioti.
semplicemente ogni produttore ti toglie la garanzia con i permessi di root, perchè potresti overclockare/overvoltare il processore ad esempio
Difatti non ho scritto che altri facciano meglio, però un minimo di diritto è previsto (vedi i casi in cui alcuni device non sono stati resi accessibili nemmeno in fase processuale).
Inoltre si sta acquisendo un minimo di consapevolezza e le big company americane sono un po’ sotto la lente d’ingrandimento (vedi la senatrice Warren con Facebook).
Una situazione per me preferibile ad una backdoor di provenienza cinese.
Perchè quando compri un pc non hai permessi di root? Questi sono pc con una distro linux niente di più niente di meno
Questa l'ha combinata troppo grossa. Permettere di installare le GApps su un telefono non certificato è come vendere un PC con Windows craccato.
E la cosa peggiore è che questa cosa si sta riflettendo sugli utenti che usano custom ROM (su telefoni certificati)
Al momento il Ban non è retroattivo ma potrebbe diventarlo.
diceva un grande giudice.. segui i soldi e troverai i capi... le aziende che hanno il quasi monopolio sul ricavato dai big data sono quasi tutte americane.. questi sono i fatti..non sto dicendo che huawei o altre aziende cinesi sono martire. perche le aziende amerivane non lavorano con le varie agenzie e pentagono per la sicurezza Usa?
Non credo che hai capito il problema
grazie per i downvote! :D
Adesso che telefono usa?
Allora mi pare fosse legale, perché Meizu sbarco con un dispositivo pensato per il mercato orientale, ricordo addirittura l'adesivo sulla scatola ai centri commerciali.
Ora, non credo sia lo stesso.
In ogni caso, significherebbe che huawei lasci una sorta di backdoor...
L'applicazione in se non lo è, nemmenoo averla nello store. Infatti basta non caricarla come Huawei ;)
Lo fece Meizu in Italia.
Non credo che in questo caso sia "legale".
Vende tablet. Ci han provato con un telefono e fallirono di brutto
Android in versione AOSP si, i servizi google no
Se solo uno potesse scegliere in fase di installazione di rimuovere le gapps.
Io vado controcorrente, e dico che questa imposizione per noi utenti potrebbe avere vantaggi...
Certo per Huawei è un dramma... E non condivido in ogni caso la "deliberizzazione" ma in ogni caso, potrebbe portare situazioni interessanti
Le terza soluzione è mettere a disposizione una loro app GMS, magari scaricabile da Appgallery e messa sempre in primo piano.
Mai avuto un huawei e di certo non sentirò la mancanza di questo...